高级可持续性威胁(APT)行为者不断改进其攻击方式。有些行为者会选择在他们的战略上保持一致,另外一些则会采用新的技术、战略和步骤。第三季度,卡巴斯基研究人员见证了多产的高级威胁行为者Lazarus发展供应链攻击能力,并利用其多平台MATA框架实现网络间谍攻击目标。卡巴斯基最新的威胁情报季度摘要揭示了这一趋势和来自世界各地的其他APT趋势。
Lazarus是世界上最活跃的威胁行为者之一,它至少从2009年起就开始活跃。该APT组织一直是大型网络间谍攻击和勒索软件攻击行动的幕后黑手,并被发现攻击国防工业和加密货币市场。他们拥有各种高级工具,而且似乎选择将这些工具应用于新的目标。
2021年6月,卡巴斯基研究人员发现Lazarus组织使用MATA恶意软件框架攻击国防工业,这种恶意软件框架能够攻击三种操作系统——Windows、Linux和macOS。历史上,Lazarus曾经出于网络犯罪目的,使用MATA对各个行业进行攻击,例如窃取客户数据库和传播勒索软件。但是,这一次我们的研究人员追踪到Lazarus使用MATA用于网络间谍目的。威胁行为者会提供一个木马化版本的应用程序,而且已知这些受害者会使用这种应用程序——这是Lazarus的一个著名的特征。值得注意的是,这并不是Lazarus组织第一次攻击国防工业:他们之前发起的ThreatNeedle行动也是以类似的方式在2020年年中进行的。
Lazarus还被发现使用更新的DeathNote集群建立供应链攻击能力,这个集群由BLINDINGCAN的一个稍微更新的变种组成,这种恶意软件曾经被美国网络安全和基础设施安全局(CISA)报告过。卡巴斯基研究人员发现针对韩国智库和IT资产监控解决方案供应商的攻击活动。在卡巴斯基研究人员发现的第一个案例中,Lazarus开发了一个感染链,该感染链源于合法的韩国安全软件部署的一个恶意的有效载荷;在第二个案例种,被攻击目标是一家开发资产监控解决方案的拉脱维亚公司,该公司是Lazarus的非典型受害者。作为感染链的一部分,Lazarus使用了一个名为 “Racket ”的下载器,并利用窃取到的证书对其进行了签名。威胁行为者入侵了网络服务器,上传了多个脚本以过滤和控制成功入侵计算机的恶意植入物。
“最近这些发展表明两件事情:Lazarus仍然对国防工业感兴趣,并且还希望通过供应链攻击来扩大其能力。这个APT组织并不是唯一被看到使用供应链攻击的组织。在上个季度,我们还追踪到SmudgeX和BountyGlad发起的此类攻击。当成功实施后,供应链攻击可能造成破坏性结果,其造成的影响远远不止一个组织——这一点我们在去年的SolarWinds攻击中就清楚地看到。随着威胁行为者投资这种能力,我们除了保持警惕,并将防御集中在这一方面,”卡巴斯基全球研究与分析团队高级安全研究院Ariel Jongheit评论说。
第三季度APT趋势报告总结了卡巴斯基威胁情报报告订阅用户专享的报告发现,其中包括感染迹象(IoC)数据和YARA规则,以协助进行取证分析和恶意软件追踪。更多详情,请联系:intelreports@kaspersky.com
为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员推荐采取以下措施:
为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。免费访问其精选功能,允许用户检查文件、URL 和IP地址,请点击这里
通过参加卡巴斯基GReAT专家开发的卡巴斯基在线培训课程,提高您的网络安全团队应对最新的针对性威胁的能力
为了实现端点级别的检测和及时的调查和修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应
除了采取基础端点保护措施外,请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台
由于很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的,所以为员工引入安全意识培训并教授实用安全技巧非常重要。例如可以使用卡巴斯基自动化安全意识平台
要阅读完整版第三季度APT趋势报告,请访问Securelist.com.
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.