上一周,卡巴斯基发布了第二季度的APT攻击趋势报告,报告主要针对了几个重点的APT恶意软件家族进行了追踪和分析:
第一位:APT28卷土重来,代表家族为Sofacy和Turla
Sofacy和Turla与APT28和APT29之间有着密切的关联,自从去年美国大选被强烈关注之后,这两个恶意家族依然活跃。今年3月份爆发之后,又分别利用了3个ODAY漏洞,前两个是Microsoft Office的封装PostScript(EPS)(CVE-2017-0262,CVE-2017-0261),第三个是Microsoft Windows本地特权升级(LPE)(CVE-2017-0263)。其搭配的攻击载荷分别为GAMEFISH(昨天公众号中提到的攻击欧洲和中东酒店的恶意代码)和Shirime。
当然,Sofacy也在不断改变技术攻击策略,第一项技术是在Microsoft Windows中使用内置的“certutil”实用程序来提取宏中的硬编码有效载荷。第二种技术是将Base64编码的有效载荷嵌入到恶意文档的EXIF元数据中。
第二位:方程式组织
方程式的攻击代码以其复杂代码模块和精密的配合方式而让人赞叹,其使用的Gray Lambert网络渗透工具,能够通过广播,多播和单播命令在网络上协调多个嗅探器,从而允许攻击者者在许多受感染机器的网络中采用手术式的精确操作。目前发现Lambert的两个家族:Red Lambert和Brown Lambert,受害者主要集中在亚洲和中东地区。
第三位:BlueNoroff
该组织的主要目标是银行金融系统、ATM和其他类型的虚拟货币,4月份新出的一个恶意软件Manuscrypt,主要目标是韩国的外交系统和使用虚拟货币和电子支付网站的人。最近,“Manuscrypt”已经成为BlueNoroff小组以金融机构为目标的主要后门。
第四位:BlackOasis
中东已经够乱了,APT当然在这里也不会闲着。继使用CVE-2016-4117,CVE-2016-0984,CVE-2015-5119之后,BlackOasis已经转向了CVE-2017-0199,其使用了合法的监视套件FinSpy。除了BlackOasis以外,一个名为“OilRig”极针对以色列的许多组织也发起了进攻。
为此,卡巴斯基预测,未来一段时间:
1、即将举行的选举,特别是德国和挪威的国家即将进行选举活动将继续受到威胁;
2、“合法监视”工具将继续被不具备成熟网络运营能力的政府所利用,主要是以中东为基地。
3、伪装成ransomware的破坏性恶意软件将继续是一个问题;
4、针对能源相关公司和组织将会不断增加。
来源:秦安战略
