卡巴斯基實驗室8月8日發布2017 Q2 APT趨勢報告。報告指出,2017年第二季度,APT(高級持續威脅)攻擊者仍在繼續部署常用的黑客工具,同時也在利用零日漏洞和使用新漏洞利用發起攻擊。
第二季度活躍APT組織
卡巴斯基在報告中提到第二季度活躍的主要APT組織:
俄羅斯APT組織:Sofacy、Turla、BlackEnergy;
英語國家APT組織:Regin、Project Sauron;
朝鮮APT組織:Lazarus;
中東APT組織:OilRig、BlackOasis;
卡巴斯基發布2017-Q2-APT趨勢報告組織-E安全
卡巴斯基指出,威脅攻擊者(Sofacy、Turla)使用針對Microsoft Office和Windows產品的零日漏洞。BlackOasis組織使用的一款零日漏洞很快被OilRig利用,而Lazarus旗下組織BlueNoroff則利用了漏洞“永恒之藍”(EternalBlue)。
3月至4月,安全研究人員發現Sofacy和Turla一直在使用零日漏洞發起攻擊。與Sofacy有關聯的兩個漏洞為:
1.Microsoft Office EPS(Encapsulated PostScript)零日漏洞,CVE-2017-0262;
2.Microsoft Windows本地提權漏洞,CVE-2017-0263。
Turla則利用另一個EPS 零日漏洞,CVE-2017-0261。
俄羅斯APT組織攻擊范圍廣
Sofacy和Turla這兩大威脅組織分別丟下常用的Payload(攻擊負載)——GAMEFISH和ICEDCOFFEE(也被稱為Shirime)。這些威脅攻擊者繼續針對外交部、政府和其它政府附屬機構發起攻擊。
Sofacy還使用了兩種新的宏技術,其中一個利用Microsoft Windows內置certutil工具提取宏內的硬編Payload,而另一個則利用惡意文件EXIF元數據內Base64編碼的Payload。Turla使用虛假的Adobe Flash安裝包傳送惡意軟件。
今年6月,俄羅斯威脅攻擊組織BlackEnergy針對使用MEDoc軟件的組織機構發起破壞性NotPetya攻擊。這起攻擊最終影響了全球65個國家,包括比利時、巴西、法國、德國、印度、俄羅斯和美國。
1.jpg
第二季度,網絡間諜組織 “長角牛”(Longhorn)引人關注。賽門鐵克研究人員曾表示,根據維基解密曝光的Vault 7機密文件,一個稱為 “長角牛”的網絡間諜組織很可能隸屬于 CIA。
自2014年卡巴斯基追蹤“長角牛”以來發現,該間諜組織至少使用了三個惡意軟件家族:Gray Lambert、Red Lambert和Brown Lambert。
卡巴斯基指出,這些惡意軟件能通過廣播、組播和單播命令在網絡上通過嗅探器監控受害者。嗅探器還可以充當被感染網絡的下一步Payload傳輸機制。Lambert的顯著特征在于精準選取目標;Gray Lambert主要將目標集中在亞洲和中東。
今年5月,WannaCry可謂“名聲大振”。安全研究人員認為WannaCry的幕后黑手是朝鮮Lazarus組織旗下的組織BlueNoroff,該組織目前正使用Manuscrypt后門攻擊金融機構。
卡巴斯基發布2017-Q2-APT趨勢報告組織-E安全
第二季度,安全研究人員還發現中東威脅攻擊組織BlackOasis使用零日漏洞(CVE-2017-0199)發起攻擊,且可能與間諜軟件FinSpy存在關聯。CVE-2017-0199被曝光之后,另一中東威脅攻擊組織OilRig一直利用該漏洞在攻擊以色列的組織機構。
其它威脅攻擊者此間也一度活躍。卡巴斯基在報告中提到講中文的威脅組織,但這些組織繼續通過先前的方式使用已知工具發起攻擊。
卡巴斯基指出,第二季度還出現了一款新MacOS惡意軟件“Demsty”,針對中國香港等大學研究人員發起攻擊,但卡巴斯基不確定其背后的威脅攻擊者。
卡巴斯基還在這份趨勢報告中提到“影子經紀人”(ShadowBrokers)。
第三季度APT趨勢預測
卡巴斯基根據過去三個月的趨勢以及可預知的地緣政治事件,卡巴斯基對第三季度的APT趨勢做了以下預測。組織機構可分析當前以及未來趨勢,并結合已知威脅攻擊者的動機預防這類攻擊。
將舉行選舉的國家可能會遭遇攻擊,尤其德國和挪威,這兩個國家先前一直是東歐攻擊者的目標。
不具備網絡行動能力的政府將會繼續使用“合法監控”工具,主要是中東國家。Gamma Group、Hacking Team和NSO這類黑客公司將會繼續向客戶提供新的零日漏洞利用。隨著間諜工具價格上漲、交易量增加,第三季度可能會出現新的組織機構和市場。
偽裝成勒索軟件的破壞性惡意軟件將會繼續制造問題。應警惕“影子經紀人”繼續泄露工具/漏洞利用。
卡巴斯基稱,中國將在下半年召開的19大,這些事件可能會帶來廣泛的區域影響力,影響威脅攻擊者的目標和戰術、技術和操作程序(TTP)。
針對能源企業和組織機構的攻擊將會增加。具有豐富石油和天然氣的國家,例如挪威可能會成為主要目標,沙特阿拉伯可能也在主要目標之列。
級別相對較低的威脅攻擊者將繼續從復雜性和規模著手增強網絡間諜活動能力。預計,不太知名或先前未被發現的威脅攻擊者將通過不同的技術發起更多攻擊活動。
京公網安備 11010502049343號