卡巴斯基：2018年度安详大变乱盘货

Turla(又名Venomous Bear、Waterbug和Uroboros)恶意组织最闻名的就是其时十分伟大的Snake Rootkit，首要进攻与北约相干的方针。然而，这一恶意组织的现实勾当要比这一恶意软件普及得多。10月，我们报道了Turla组织近期的勾当，显现了旧代码、新代码和新揣摩的风趣组合，以及展望了该恶意组织的后续打算。我们在2018年的大部门研究，都齐集于他们的KopiLuwak JavaScript后门、Carbon框架的新变种以及Meterpreter交付技能。其他一些值得存眷的处所是他们行使不绝变革的Mosquito投递技能、定制的PoshSec-Mod开源PowerShell和从别处借用的注入代码。我们将一些恶意勾当与WhiteBear和Mosquito基本办法及数据点以及恶意组织在2017年和2018年时代的勾当相干联。该恶意组织的方针很少与其他APT勾当相重叠。Turla并没有介入具有里程碑意义的DNC黑客勾当(Sofacy和CozyDuke都曾参加)，他们清静活泼在环球各地的其他恶意勾当中，与该恶意组织相干的进攻要领尚未被兵器化。Mosquito和Carbon勾当首要针对社交和社交事宜方针，而WhiteAtlas和WhiteBear勾当遍布环球，针对付社交相干的组织，但还针对一些科技组织以及与政治无关的组织。该组织的KopiLuwak恶意勾当没有针对付社交和社交事宜，相反，在2018年的恶意勾当首要针对具有当局配景的科学和能源研究组织，以及阿富汗当局相干的通讯组织。这种具有高度针对性但越发普及的方针选择模式也许会一连到2019年。

10月，我们报道了MuddyWater APT组织近期的勾当。我们在已往的监测表白，这个相对较新的恶意组织在2017年浮出水面，首要针对伊拉克和沙特阿拉伯的当局方针动员进攻。然而，众所周知，近期MuddyWater背后的恶意组织又将方针对准中东、欧洲和美国的其他国度。我们留意到，近期大量的鱼叉式收集垂纶文件好像针对约旦、土耳其、阿塞拜疆和巴基斯坦的当局机构、军究竟体、电信公司和教诲机构，另外他们针对伊拉克和沙特阿拉伯还在动员一连的进攻。在马里、奥地利、俄罗斯、伊朗和巴林，也发明白受到进攻的主机。这些新恶意文档建设于2018年，恶意勾当从5月开始进级。新的鱼叉式收集垂纶文档依赖社会工程学来诱导受害者启用宏。受害者依赖一系列被攻下的主机来动员进攻。在我们研究的高级阶段，我们不只发明该恶意组织兵器库中的一些其他文件和器材，还调查到进攻者所犯的一些OPSEC错误。为了防御恶意软件进攻，我们提议采纳如下法子：

• 对平凡员工开展安详教诲，以便他们可以或许辨认收集垂纶链接等恶意举动。
• 对信息安详职员开展专业培训，确保他们具备完备的设置加固、变乱观测和溯源手段。
• 行使颠末验证的企业级安详办理方案，与可以或许通过说明收集非常来检测进攻的反方针进攻办理方案相团结。
• 为安详职员提供会见最新威胁谍报数据的权限，譬喻IoC和YARA法则。
• 成立企业级补丁打点流程。

大型组织更应该应用高程度的收集安详技能，由于进攻者对这些组织的进攻是无法停止的，而且永久不太也许遏制。

DustSquad是另一个针对中亚组织的恶意组织。在已往两年中，卡巴斯基尝试室一向在监控这个行使俄语的收集特工组织，并想我们的客户提供有关针对Android和Windows的四个恶意勾当的私有谍报陈诉。最近，我们说明白一个名为Octopus的恶意措施，该措施用于进攻特定地域的社交机构。这一名称是由ESET在2017年确定的，由于他们在旧的C&C处事器上发明进攻所行使的0ct0pus3.php剧本。行使卡巴斯基归因引擎(Kaspersky Attribution Engine)基于相似度算法举办说明，我们发明Octopus与DustSquad相干。在我们的监测中，我们在中亚地域前苏联成员国和阿富汗发明这一勾当的踪迹。4月，我们发明白一个新的Octopus样本，伪装成具有俄语界面的Telegram Messenger。我们无法找到该恶意软件所假充的正当软件，究竟上，我们以为响应的正当软件并不存在。然而，进攻者操作哈萨克斯坦隐藏的榨取行使Telegram划定来敦促其Dropper作为政治阻挡派的更换通讯软件。

10月，我们颁发了针对Dark Pulsar的说明。我们的观测始于2017年3月，其时Shadow Brokers宣布的被窃取数据中包括了两个框架，别离是DanderSpritz和FuzzBunch。DanderSpritz中包括各类范例的插件，旨在说明受害者、实现裂痕操作、添加打算使命等。DanderSpritz框架旨在搜查已受节制的计较机，并从中网络谍报。这两个框架配合为收集特工提供了一个很是强盛的平台。但泄漏的数据中并不包罗Dark Pulsar后门自己，而是包括一个用于节制后门的打点模块。可是，通过在打点模块中基于一些常量建设非凡署名，我们就可以或许捕捉到植入器材。这栽培入器材使进攻者可以或许长途节制被传染装备。我们发明白50台被传染的装备，它们位于俄罗斯、伊朗和埃及，但我们信托也许还会有更多。起首，DanderSpritz接口能同时打点大量被传染主机。另外，进攻者凡是会在恶意勾当竣事后删除恶意软件。我们以为这一恶意勾当在2017年4月Shadow Brokers泄漏“Lost in Translation”后就遏制了。针对Dark Pulsar这样的伟大威胁，各人可以在这里查察我们提供的缓解计策。

三、移动APT进攻系列

2018年，在移动APT威胁部门，我们首要发明白三起重大变乱：Zoopark、BusyGasper和Skygofree收集特工勾当。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!