亚太地区网络间谍高级威胁行为者在新的攻击行动中有所升级
2020年6月,卡巴斯基研究人员发现了一场针对越南政府和军事部门实体的高级网络间谍活动。最终的有效载荷是一个远程管理工具,它可以完全控制受感染的设备。进一步分析表明,这场攻击行动是由一个与Cycldek相关的威胁组织进行的,Cycldek是一个至少从2013年就开始活跃的说中文的威胁组织,该威胁组织在复杂性方面迈出了重要的一步。
说中文的威胁行为者经常互相分享他们的技术和方法,这使得卡巴斯基研究人员很容易追踪与LuckyMouse、HoneyMyte和Cycldek等知名网络间谍组织相关的高级持续性威胁(APT)活动。因此,当研究人员看到这些威胁组织最著名的一个策略——“DLL侧面加载三合一”被用来针对越南政府和军事实体进行攻击时,他们立即就注意到了。
DLL或动态链接库是计算机上其他程序要使用的代码段。 在DLL侧面加载中,一个经过合法签名的文件(例如来自Microsoft Outlook)被欺骗来加载恶意DLL,从而使攻击者可以绕过安全产品。在最近发现的攻击行动中,DLL侧面加载感染链执行了用于解密最终有效载荷的shellcode:一个被卡巴斯基命名为FoundCore的远程访问木马,该木马能够让攻击者完全控制被感染设备。
但是更有趣的是用来保护恶意代码不被分析的方法——这种方法标志着该地区攻击者在复杂性方面有了重大进步。最终有效载荷的标头(代码的目标和源)被完全剥离,剩下的几个包含不连贯的值。攻击者这样做,可以让研究人员对恶意软件进行逆向工程分析的难度大大增加。不仅如此,感染链的各个组成部分紧密耦合,这意味着对一个片段单独进行分析非常困难,有时候甚至是不可能的,从而无法全面了解恶意活动。
卡巴斯基研究人员还发现这种感染链会下载两个额外的恶意软件。第一个为DropPhone,它从受害计算机中收集环境信息,并将其发送到DropBox。第二个为CoreLoader,其运行的代码能够帮助恶意软件躲避安全产品的检测。
数十台计算机遭到这次攻击行动的影响,其中80%的受感染计算机位于越南。这些计算机大部分属于政府或军事部门,其他目标则与医疗、外交、教育或政治有关。在中亚和泰国也发现少量被攻击目标。
“根据攻击行动中释放的恶意软件与我们去年发现的RedCore恶意软件的相似性,我们认为这次攻击行动是由Cycldek发起的,但无法确定。直到最近,我们一直认为Cycldek是一个复杂程度不高的说中文的威胁行为者,主要在该地区进行网络间谍行动。但是,最近的这次攻击活动标志着他们的能力有了重大飞跃,”卡巴斯基全球研究和分析团队(GReAT)高级安全研究员Ivan Kwiatkowski评论说。
“总体来看,过去一年,我们注意到很多说中文的威胁组织在他们的攻击行动中投入了更多的资源,磨炼他们的技术能力。在这次攻击中,他们增加了更多层的混淆,使得反向工程变得显著复杂。这表明这些威胁组织可能正在寻求扩大他们的活动。目前来看,这此次攻击活动似乎更多的是地方性的威胁,但未来很有可能在不同地区的更多国家中发现FoundCore后门,”全球研究和分析团队高级安全研究员Mark Lechtik补充说。
“此外,鉴于这些说中文的威胁组织往往会互相分享他们的策略,因此在其他攻击活动中发现这些同样的混淆策略并不足为奇。我们将密切监控威胁环境,寻找类似的可疑活动。对企业来说,最好的做法是掌握最新的威胁情报,这样他们就知道要注意什么了,”全球研究和分析团队高级安全研究员Pierre Delcher评论说。
要了解更多与Cycldek相关的攻击行动,请访问Securelist. 有关该威胁组织的感染迹象,包括文件哈希值等信息,请访问卡巴斯基威胁情报门户。
为了保护您的公司免受此类高级持续性威胁活动的影响,卡巴斯基专家建议:
安装反APT解决方案和EDR解决方案,并启用威胁发现和检测、调查以及事件及时修复功能。为您的SOC团队提供对最新威胁情报的访问,并对他们定期进行专业培训。以上所有内容都可以在卡巴斯基专家安全框架内实现。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。