2017Q2 APT趋势报告及Q3趋势预测
关注E安全 关注网络安全一手资讯
卡巴斯基实验室8月8日发布2017 Q2 APT趋势报告。报告指出,2017年第二季度,APT(高级持续威胁)攻击者仍在继续部署常用的黑客工具,同时也在利用零日漏洞和使用新漏洞利用发起攻击。
第二季度活跃APT组织
卡巴斯基在报告中提到第二季度活跃的主要APT组织:
俄罗斯APT组织:Sofacy、Turla、BlackEnergy;
英语国家APT组织:Regin、Project Sauron;
朝鲜APT组织:Lazarus;
中东APT组织:OilRig、BlackOasis;
卡巴斯基指出,威胁攻击者(Sofacy、Turla)使用针对Microsoft Office和Windows产品的零日漏洞。BlackOasis组织使用的一款零日漏洞很快被OilRig利用,而Lazarus旗下组织BlueNoroff则利用了漏洞“永恒之蓝”(EternalBlue)。
3月至4月,安全研究人员发现Sofacy和Turla一直在使用零日漏洞发起攻击。与Sofacy有关联的两个漏洞为:
1.Microsoft Office EPS(Encapsulated PostScript)零日漏洞,CVE-2017-0262;
2.Microsoft Windows本地提权漏洞,CVE-2017-0263。
Turla则利用另一个EPS 零日漏洞,CVE-2017-0261。
Sofacy和Turla这两大威胁组织分别丢下常用的Payload(攻击负载)——GAMEFISH和ICEDCOFFEE(也被称为Shirime)。这些威胁攻击者继续针对外交部、政府和其它政府附属机构发起攻击。
Sofacy还使用了两种新的宏技术,其中一个利用Microsoft Windows内置certutil工具提取宏内的硬编Payload,而另一个则利用恶意文件EXIF元数据内Base64编码的Payload。Turla使用虚假的Adobe Flash安装包传送恶意软件。
今年6月,俄罗斯威胁攻击组织BlackEnergy针对使用MEDoc软件的组织机构发起破坏性NotPetya攻击。这起攻击最终影响了全球65个国家,包括比利时、巴西、法国、德国、印度、俄罗斯和美国。
第二季度,网络间谍组织 “长角牛”(Longhorn)引人关注。赛门铁克研究人员曾表示,根据 维基解密曝光的Vault 7机密文件,一个称为 “长角牛”的网络间谍组织很可能隶属于 CIA。
自2014年卡巴斯基追踪“长角牛”以来发现,该间谍组织至少使用了三个恶意软件家族:Gray Lambert、Red Lambert和Brown Lambert。
卡巴斯基指出,这些恶意软件能通过广播、组播和单播命令在网络上通过嗅探器监控受害者。嗅探器还可以充当被感染网络的下一步Payload传输机制。Lambert的显著特征在于精准选取目标;Gray Lambert主要将目标集中在亚洲和中东。
今年5月,WannaCry可谓“名声大振”。安全研究人员认为WannaCry的幕后黑手是朝鲜Lazarus组织旗下的组织BlueNoroff,该组织目前正使用Manuscrypt后门攻击金融机构。
第二季度,安全研究人员还发现中东威胁攻击组织BlackOasis使用零日漏洞(CVE-2017-0199)发起攻击,且可能与间谍软件FinSpy存在关联。CVE-2017-0199被曝光之后,另一中东威胁攻击组织OilRig一直利用该漏洞在攻击以色列的组织机构。
其它威胁攻击者此间也一度活跃。卡巴斯基在报告中提到讲中文的威胁组织,但这些组织继续通过先前的方式使用已知工具发起攻击。
卡巴斯基指出,第二季度还出现了一款新MacOS恶意软件“Demsty”,针对中国香港等大学研究人员发起攻击,但卡巴斯基不确定其背后的威胁攻击者。
卡巴斯基还在这份趋势报告中提到“影子经纪人”(ShadowBrokers)。
https://v.qq.com/txp/iframe/player.html?vid=j0537kzvxyi&width=500&height=375&auto=0
第三季度APT趋势预测
卡巴斯基根据过去三个月的趋势以及可预知的地缘政治事件,卡巴斯基对第三季度的APT趋势做了以下预测。组织机构可分析当前以及未来趋势,并结合已知威胁攻击者的动机预防这类攻击。
将举行选举的国家可能会遭遇攻击,尤其德国和挪威,这两个国家先前一直是东欧攻击者的目标。
不具备网络行动能力的政府将会继续使用“合法监控”工具,主要是中东国家。Gamma Group、Hacking Team和NSO这类黑客公司将会继续向客户提供新的零日漏洞利用。随着间谍工具价格上涨、交易量增加,第三季度可能会出现新的组织机构和市场。
伪装成勒索软件的破坏性恶意软件将会继续制造问题。应警惕“影子经纪人”继续泄露工具/漏洞利用。
卡巴斯基称,中国将在下半年召开的19大,这些事件可能会带来广泛的区域影响力,影响威胁攻击者的目标和战术、技术和操作程序(TTP)。
针对能源企业和组织机构的攻击将会增加。具有丰富石油和天然气的国家,例如挪威可能会成为主要目标,沙特阿拉伯可能也在主要目标之列。
级别相对较低的威胁攻击者将继续从复杂性和规模着手增强网络间谍活动能力。预计,不太知名或先前未被发现的威胁攻击者将通过不同的技术发起更多攻击活动。
E安全推荐文章
官网:www.easyaq.com
2017年8月