低級別植入物、獵取加密貨幣以及地緣政治攻擊:2022年第一季度APT行為者有哪些動作

低級別植入物、獵取加密貨幣以及地緣政治攻擊:2022年第一季度APT行為者有哪些動作

2022年的前三個月,卡巴斯基研究人員繼續在全球範圍內發現APT阻止開發的最新工具、技術以及發動的攻擊行動。涵蓋三個月形勢的APT趨勢報告來自卡巴斯基的私人威脅情報研究以及研究人員認為每個人都應該瞭解的重大發展和網路事件。

整個2022年第一季度,正在進行的APT活動是由新發起的活動和圍繞敏感地緣政治事件的一系列攻擊推動的。其中最重要的發現包括:

· 地緣政治危機是APT發展的關鍵驅動因素

威脅領域出現大量圍繞烏克蘭危機的攻擊。HermeticRansom、DoubleZero 和許多其他針對烏克蘭實體的新攻擊在 2 月和 3 月都有報導。APT組織Gamaredon和UNC1151(Ghostwriter)部署的新基礎設施數量明顯激增。調查過程中,卡巴斯基研究人員發現了2021年12月開發的兩個WhisperGate原型樣本,其中包含測試字串和微軟共用樣本中觀察到勒索字條的早期修訂版。他們非常肯定地認為,這些樣本是曾報導過的在烏克蘭使用的Wiper的早期反覆運算。

與此同時,卡巴斯基研究人員發現了與Konni威脅行為者有關的三起攻擊活動。該威脅行為者主要攻擊俄羅斯的外交實體,並且從2021年年中就開始活躍。雖然攻擊者在不同的活動中使用相同的Konni RAT植入物,但每次活動的感染媒介都不同:有的是使用包含內嵌宏的文檔,有的是偽裝成COVID-19註冊申請表的安裝程式,還有假冒成新年螢幕保護程式程式的下載器。

· 低級別攻擊的回歸

去年,卡巴斯基研究人員預測,2022年低級植入物將進一步發展。這一趨勢的一個突出例子是卡巴斯基發現的Moonbounce,這是已知的第三個在野外存在的固件bootkit。這種惡意植入物隱藏在統一可延伸韌體介面(UEFI)固件中,而固件是電腦重要的組成部分。該植入物是在SPI快閃記憶體中發現的,SPI快閃記憶體是硬碟驅動器外部的存儲元件。這些相關的攻擊活動可以溯源到知名的APT行為者APT41。

· APT行為者獵取加密貨幣

在本季度,卡巴斯基還發現APT行為者繼續獵取加密貨幣。與大多數政府贊助的APT組織不通,Lazarus和其他APT威脅行為者將獲取經濟利益作為其主要目標。該威脅行為者分發木馬化的去中心化金融(DeFi)應用程式,以增加利潤。Lazarus濫用用於管理加密貨幣錢包的合法應用程式,分發惡意軟體,對受害者的系統進行控制。

· 更新和線上服務濫用

APT行為者在不斷尋找新的方法來提升他們的攻擊效率。被稱為DeathStalker的網路雇傭軍組織繼續更新其並不複雜的工具,使其攻擊更加有效。Janicab是該組織使用的最古老的惡意軟體,於2013年首次推出,該惡意軟體是這種趨勢的一個典型的示例。整體來看,Janicab顯示了與其對應的惡意軟體家族相同的功能,但不是像該組織過去對EVILNUM和Powersing入侵所做的那樣,在入侵生命週期的後期下載多個工具,而是將大多數工具嵌入並在釋放器中並進行了混淆。此外,DeathStalker使用世界上最大的線上服務,如YouTube、Google+和WordPress等,作為dead-drop解析器(DDR)來執行有效的隱蔽命令和控制功能。

“地緣政治一直是APT攻擊的主要驅動因素,而且從未像現在這樣明顯。我們生活在一個動盪的時代,這一點通過網路安全的濾鏡也能很明顯地看到。與此同時,我們可以看到,對很多威脅行為者來說,第一季度還是正常地開展業務,不斷的更新工具和發起新的攻擊活動,其目的不僅僅是為了獲取資訊,還是為了獲取金錢,”卡巴斯基全球研究與分析團隊(GReAT)首席安全研究員David Emm評論說:“這意味著,企業和組織需要像以往一樣保持警惕,並確保他們使用威脅情報和正確的工具來武裝自己,以抵禦現有和新出現的威脅”。

第一季度APT趨勢報告總結了卡巴斯基威脅情報報告訂閱用戶專享的結果,其中還包括感染跡象(IoC)資料和YARA規則,用來協助進行取證分析和惡意軟體追蹤。更多詳情,請聯繫: [email protected]

本季度早些時候,卡巴斯基全球研究與分析團隊(GReAT)做了一個關於烏克蘭網路攻擊的演講,包括最新的APT活動。您可以訪問這裡查看網路研討會的錄影,點擊這裡查看會議摘要。

 

要閱讀完整版2022年第一季度APT報告,請訪問Securelist.

為了避免成為已知或未知威脅行為者的針對性攻擊的受害者,卡巴斯基研究人員建議採取以下措施:

· 為您的 SOC 團隊提供對最新威脅情報(TI)的訪問。卡巴斯基威脅情報門戶網站是卡巴斯基威脅情報的一站式訪問點,提供卡巴斯基超過20年來收集的網路攻擊資料以及見解。為了幫助企業在這個動盪的時代實現有效的防禦,卡巴斯基宣佈免費提供獨立的、不斷更新的、來自全球的關於正在進行的網路攻擊和威脅的資訊。請點擊這裡獲取免費訪問。

使用由GReAT專家開發的卡巴斯基線上培訓課程來提升您的網路安全團隊對抗最新針對性威脅的能力。
為了實現端點級別的檢測和及時的調查和修復,請部署EDR解決方案,例如卡巴斯基端點檢測。
除了採取基礎端點保護措施外,請部署能夠在早期階段在網路層面檢測高級威脅的企業級安全解決方案,例如卡巴斯基反針對性攻擊平臺
由於很多針對性攻擊都是從網路釣魚或其他社交工程手段開始的,所以為員工引入安全意識培訓並教授實用安全技巧非常重要。例如可以使用卡巴斯基自動化安全意識平臺
相關文章 新聞稿
電子郵件和密碼:網路安全中最常見的知識缺口被揭示
一個企業安全意識平臺的學生統計資料顯示,人們在回答與電子郵件和密碼使用相關問題時最常犯錯。圍繞這些主題的任務是使用者最常失敗的前 5 項任務
閱讀詳情 >
低級別植入物、獵取加密貨幣以及地緣政治攻擊:2022年第一季度APT行為者有哪些動作
根據卡巴斯基最新的2022年第一季度APT趨勢報告,高級可持續威脅(APT)行為者在這一季度非常忙碌。最近發現的和正在進行的由新的和知名威脅行為者進行的活動都對APT威脅形勢造成了重大變化。遭受攻擊最多的是企業和政府實體,APT行為者更新了現有的惡意工具集,並使其攻擊技術多樣化,以提升其攻擊水準。卡巴斯基最新的季度威脅情報摘要涵蓋了這些趨勢和其他趨勢。

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: