阿瓦斯 2022年第一季度威胁报告
- 33
乌克兰与俄罗斯的网路战争
前言
2022年第一季度结束了,我们再次聚焦于威胁环境,分享我们在这一期间的观察。正常情况下,我可能会强调与2022年北京冬季奥运会有关的行动Spyware、另一个关键的Java漏洞Spring4Shell,或许还会提到恶意软体作者在冬季假期后恢复其常规操作的速度。不幸的是,这一切都被俄罗斯对乌克兰的战争所掩盖。
与乌克兰的局势类似,在网路空间中进行的战争也非常激烈,涉及各种攻击武器。我们见证了多个标志为俄国的APTAdvanced Persistent Threat集团对乌克兰进行攻击使用一系列清除性恶意软体和勒索软体,观察到Gamaredon APT工具包活动的巨大增加,甚至卫星互联网连接也遭到干扰。此外,骇客行动、对政府网站的DDoS攻击以及资料泄漏案件几乎每天都在这场冲突的双方持续进行中。更有甚者,一些恶意硬体作者和操作员在战争中受到直接影响,比如Raccoon Stealer的主要开发者被指控死亡,导致这种威胁至少暂时停止。此外,一些恶意软体集团已选边站,开始威胁对方。举个例子,Conti集团曾承诺要针对对俄罗斯的网络攻击进行勒索报复。关于这个故事的更多细节,可以在本报告中找到。
综合上所述,毫不奇怪的是,我们在2022年第一季度观察到参与这场冲突的国家中的特定恶意软体类型攻击大幅增加;例如,乌克兰、俄罗斯和白俄罗斯的RAT攻击阻挡率增加了50以上,机器人网络攻击增加30,信息窃取威胁增加20。为了帮助这些攻击的受害者,我们开发并发布了多个免费的勒索软体解密工具,包括针对我们在俄乌冲突开始前几小时发现的HermeticRansom。
在Q1/2022的其他与恶意软体相关的新闻中:Emotet和Trickbot的团队似乎紧密合作,通过将感染了Trickbot的电脑移交给Emotet控制来重新振兴这一恶意软体,随后停止使用Trickbot。此外,这份报告还描述了拉丁美洲中大规模的信息窃取运动,日本的大规模广告软体活动,以及在美国和加拿大传播的技术支持诈骗。最后,Lapsus骇客组织再次出现,对包括微软、英伟达和三星等大科技公司造成了违规,但希望在3月多名成员被捕后他们也会随之消失。
最后但并非不重要的是,我们发布了最新的Parrot流量导向系统TDS活动,它在最近几个月中出现,并正在全球范围内接触用户。这个TDS已感染了超过16500个网站的各种网页伺服器。
请保持安全,祝您阅读愉快。
雅库布克劳斯特克,恶意软体研究总监
方法论
本报告分为两个主要部分桌面相关威胁,提供有关针对Windows、Linux和macOS攻击的情报,及移动相关威胁,为Android和iOS攻击提供建议。
此外,我们在本报告中使用风险比率这一术语来描述特定威胁的严重性,计算方法是“被攻击用户数 / 给定国家中活跃用户数的月平均值。”除非另有说明,计算的风险仅适用于每月活跃用户超过10000的国家。
桌面相关威胁
高级持久威胁APTs
在三月,我们曾报导一个针对台湾、菲律宾和香港的赌博公司的APT活动,我们称其为“操作龙的堡垒”。攻击者是一个“讲中文的小组”,他们利用了两种不同的方式来侵入目标设备通过假冒电子邮件发送受感染的安装程序,并利用WPS Office更新程序中新发现的漏洞CVE202224934。成功感染后,恶意软体使用多种插件进行权限提升、持久性维持、键盘记录和后门访问。
操作龙的堡垒:恶意文件之间的关系
此外,在俄罗斯开始入侵乌克兰的前一天,即2月23日,ESET曾tweet发现了一种新的数据清除工具,命名为“HermeticWiper”。攻击者的动机是摧毁和造成感染系统的最大损害,它不仅会干扰MBR,还会破坏文件系统和单个文件。随后不久,我们在Avast发现了与之相关的勒索软体,命名为“HermeticRansom”。关于此主题的更多信息请参见下面的勒索软体部分。据信这些攻击是由“俄罗斯APT集团”实施的。
延续此主题,“Gamaredon”被认为是最活跃的“俄方支持的APT组织”,目标直指乌克兰。自从俄罗斯于二月底发动侵略以来,我们观察到该APT组织在乌克兰的活动标准高水平急剧加速,他们的攻击次数激增。
Gamaredon APT活动 Q4/2021与Q1/2022
Gamaredon APT在Q1/22的攻击目标
我们同时还注意到Korplug的活动增加。其重心从以往的南亚国家如缅甸、越南或泰国扩展到巴布亚新几内亚和非洲。受影响最大的非洲国家是“加纳”、“乌干达”和“奈及利亚”。由于Korplug通常被归因于“中国APT组织”,这一新扩展符合其长期对参与中国一带一路倡议的国家的兴趣。
新Korplug在非洲和巴布亚新几内亚的检测
路易吉诺卡马斯特拉,恶意软体研究员伊戈尔摩根斯坦,恶意软体研究员詹霍尔曼,恶意软体研究员
广告软体
桌面广告软体在Q4/21变得更加激进,这一趋势在Q1/22也持续,如下图所示:
另一方面,Q1/22出现了一些有趣的现象。首先,日本的广告软体活动在二月和三月显著增加;请见下图。同时,在这段时间,Emotet也在日本的收件箱中出现。
相反,乌克兰的情况导致了三月广告软体活动的减少;见下图显示Q1/22在乌克兰的广告软体活动。
最后,另一个有趣的观察涉及法国、德国和英国等主要欧洲国家的广告软体活动。下图显示三月这些国家的活动有所增加,与Q1/22的趋势有所偏离。
关于主要变种,大约64的广告软体来自不同的广告软体家族。然而,第一个明确识别的家族是“RelevantKnowledge”,尽管其目前的流行率较低5,但与Q4/21相比却增长了97。其他识别的变种还有ICLoader、Neoreklami、DownloadAssistant和Conduit。
如上所述,广告软体的活动趋势与Q4/21相似,因此风险比率保持不变。受影响最严重的地区仍然是非洲和亚洲。在Q1/22的数据中,我们监测到在日本209和法国87的受保护用户有所增长;另一方面,在俄罗斯51和乌克兰50则观察到了减少。
Q1/22的广告软体风险比率。
马丁楚梅基 煮悪意软体研究员
机器人
就Emotet和Trickbot而言,我们似乎经历了一场过山车。去年的时候,我们经历了Emotet的拆解和随后由Trickbot复活。在这一季度,Trickbot的基础设施关闭和Conti的内部通讯泄漏显示Trickbot似乎已经完成其绝响。据说其开发者已转移至其他Conti项目,可能还包括作为Conti新产品的BazarLoader。Emotet也进行了一些调整我们发现其新的独特配置的频率显著增加。我们还见到了在日志中出现的新配置时间戳“20220404”,有趣的是在3月24日观察到,而不是我们一直习惯看到的“20211114”。
随著乌克兰战争的开始出现了一种新趋势。简单的JavaScript代码被用来向主要是俄罗斯的网站发起请求,范围包括媒体、企业和银行。这段代码伴随著一段多语言谴责俄罗斯在乌克兰的侵略的文字。这段代码快速地在互联网上传播,出现了不同版本,甚至有一个开源游戏2048的变体。不幸的是,我们开始看到包含该代码的网页“甚至没有声明”,因此可能会发生您的电脑在您查看天气时参与这些行动。尽管这些行为让我们想到了Anonymous的DDoS行动和LOIC开源压力工具低轨道加农炮,但这些页面对公众来说更为可及,只需使用浏览器,并主要预设列表的目标。在三月底附近,我们见到这些活动的流行度和新变体出现的情况有了显著下降。
其他的风险并没有带来太多惊喜。我们在俄罗斯30和乌克兰15见到了 significant 的风险增长;不过,对于后者来说,这主要不会投射出过多受影响的客户数。
就数据而言,最主要的变种是Emotet,自上个季度以来市场占有率翻了一番。与上个季度相比,其它主要变种的普遍性略有下降。我们看到的最常见的几种变种是:
EmotetAmadeyPhorpiexMyloBotNitolMyKingsDorkbotTofseeQakbot阿道夫斯特雷达,恶意软体研究员
加密货币挖矿
正巧的是,由于近期加密货币价格相对稳定,恶意的加密货币挖矿活动在我们用户中也处于相对稳定的水平。
与上个季度相比,加密货币挖矿的威胁行为者对于台湾69、智利63、泰国61、马拉维58和法国58的重视程度有所增加。这主要是由于持续增长的趋势使用各种网页挖矿工具在受害者的浏览器中执行JavaScript代码。另一方面,丹麦56和芬兰50的感染风险显著下降。
Q1/22中最常见的加密货币挖矿程式是:
XMRigNeoScryptCoinBitMinerCoinHelper詹鲁宾,恶意软体研究员
信息窃取者
Q1/22中,信息窃取者的活动与Q4/21相比没有显著变化。FormBook、AgentTesla和RedLine仍是最流行的窃取者,共同负责该类别中50的攻击。
Q1/22中信息窃取者的活动。
我们注意到,与上一季度相比,区域分布完全已经改变。在Q4/21,辛加浦、也门、土耳其和塞尔维亚是最受信息窃取者影响的国家;而在Q1/22,俄罗斯、巴西和阿根廷的风险比率均上升,分别为27俄罗斯、21巴西和23阿根廷。
拉丁美洲不仅是信息窃取者的热门目的地,还拥有许多地区特定的窃取者,能够妨碍受害者的银行账户。随著地下骇客文化在巴西继续发展,这些威胁集团开始以财务目的锁定同胞。在巴西,Ousaban和Chaes构成了最大的威胁,分别造成超过10万和7万次的攻击。在墨西哥,Q1/22出现了超过34K来自Casbaneiro的攻击。这些团体的共同模式是利用脚本语言进行多阶段的交付链,下载和部署下一阶段的有效载荷,同时使用DLL侧载技术执行最后一个阶段。
此外,源自俄罗斯的Raccoon Stealer的活动,自三月以来显著减少。进一步调查发现,在俄罗斯的地下论坛上有人提到Raccoon小组不再运作。几天后,Raccoon小组的代表表示,该小组一名成员在乌克兰的战争中丧生,并已暂停运营,计划在几个月内返回并推出新产品。
接下来,一种名为DazzleSpy的macOS恶意软体被发现,它利用watering hole攻击,针对支持中国民主的同情者;其主要活动地点为亚洲。这款后门程式可以远程控制macOS并执行任意命令,下载和上传文件,从而达成窃取密钥链、键盘记录以及潜在的屏幕截图等功能。
最后,再次出现了能够在M1 Apple芯片和Intel硬件上原生运行的恶意软体。这种类型的恶意家族名为SysJoker,能够攻击所有桌面平台Linux、Windows和macOS并被远程控制,允许下载其他有效负载并执行远程命令。
安霍,恶意软体研究员伊戈尔摩根斯坦,恶意软体研究员弗拉基米尔马尔蒂亚诺夫,恶意软体研究员弗拉迪米尔扎卢德,恶意软体分析师
勒索软体
我们曾报导过在Q4/21中,勒索软体攻击的总数有所下降。Q1/22时,这一趋势持续,进一步小幅减少。如以下图所示,2022年初出现了下降,随后勒索软体攻击次数稳定下来。
我们认为,这一趋势下滑的原因有多种,例如稍后将讨论的地缘政治形势以及勒索软体帮派对大目标即大规模猎杀集中攻击,而非通过喷洒式和祈祷式技术攻击普通用户。换句话说,尽管勒索软体依然是一个重大威胁,但攻击者的目标和战术略有变化。正如您在本部分其余内容中所看到的,总数虽然较低,但在Q1中有许多与勒索软体相关的活动正在发生。
根据我们的远程监测,针对的国家分布与Q4/21类似,部分Q/Q变化显著,例如:墨西哥风险比率120、日本37和印度34。
在最受欢迎的勒索软体变种中,“STOP”和“WannaCry”仍然保持著顶端的位置。“STOP”勒索软体的运作者持续发布新的变种,而CrySiS勒索软体的情况也是如此。对于这两种情况,勒索软体的代码并没有显著演变,因此新变种仅意味著加密文件的扩展名不同、联系电子邮件的变化以及新的公开RSA密钥。
Q1/22中最流行的勒索软体变种:
WannaCrySTOPVirLockGlobeImposterMakop在主要专注于针对性攻击的运作团体中,根据我们的远程数据,最大的活跃团体是lockbit、Conti和Hive。“黑猫”又名ALPHV勒索软体也在上升。“Lockbit组织”增加了他们的存在感和自信,宣称他们将支付任何揭示其位置的FBI探员100万美金的赏金,稍后他们将该报酬扩展到地球上任何人。
您可能还记得Sodinokibi又名REvil,这种勒索软体经常在我们的威胁报告中提到。关于这种勒索软体和其与俄罗斯之间的联系,总是有一些有趣的事情。在我们的Q4/21威胁报告中,我们报导了俄罗斯当局逮捕了其部分操作者。事实上,这导致Sodinokibi在Q1/2022中几乎消失于威胁环境。然而,在Q1/2022底部和四月初,情况变得混乱,“新Sodinokibi”的标识开始出现,包括从被勒索的企业中发布的新资料和恶意样本。目前尚不清楚这是否意味著复苏、伪装攻击、重用Sodinokibi的资源或基础设施,或者多个组合之间的结合。我们的第六感告诉我们,“Sodinokibi”这个话题将再次出现在Q2/22的威胁报告中。
俄罗斯的勒索软体加盟者则是一个无穷无尽的故事。例如,我们可以提及一名有趣的公共曝光犯罪分子,名为Wazawaka,与Babuk、DarkSide及其他勒索软体团体之间有联系,这是在二月份。这位醉酒独自视频和推特,揭露了比他丢失的手指更多的内容。
俄罗斯的入侵及随后的乌克兰战争,这是Q1/22中最可怕的事件,其在网络空间的相对应行为也随之进行。就在入侵前一天,几起网络攻击便已被检测到。在ESET发现HermeticWiper恶意软体不久后,Avast也发现了勒索软体正针对乌克兰目标进行攻击Avast Threat Labs。我们将其命名为HermeticRansom。随后,CrowdStrike的分析师发现了该勒索软体中的漏洞。我们迅速行动并发布了一个免费的解密工具,以帮助乌克兰的受害者。此外,战争影响了勒索软体的攻击,因为一些勒索软体的作者和合作伙伴来自乌克兰,并可能因战争而无法执行其操作。
随著网络战争的进行,实际战争也在持续。随著入侵开始的次日,“Conti”勒索软体帮派宣称立场,并威胁任何考虑对俄罗斯发起网络攻击或战争行动的人:
作为反应,一名乌克兰研究人员开始发布Conti帮派的内部文件,其中包括Jabber对话和Conti勒索软体的源代码。然而,没有泄露太多的加密密钥。另外,这些公开的资料都是旧版本的Conti勒索软体,不再对应于今天版本所创建的加密文件的布局。泄露的文件和内部通讯为这一大型网络犯罪组织提供了有价值的见解,并且暂时减缓了他们的运营。
在Conti泄露的其他后果中,公开的源代码迅速被NB65骇客组织使用。该组宣布对俄罗斯展开复仇,并利用经过修改的Conti勒索软体进行袭击。
再者,二月时以往最活跃和成功的勒索软体组织之一“Maze”宣布终止其操作。他们发布了其勒索软体变种“Maze”、“Egregor”和“Sekhmet”的主解密密钥。总共发布了四个压缩文件,包括:
19个Egregor勒索软体的RSA2048密钥。Egregor使用三重密钥加密架构主RSA密钥受害者RSA密钥每个文件密钥。30个加9个从旧版本Maze勒索软体的RSA2048密钥。Maze同样使用三重密钥加密结构。Sekhmet勒索软体的单个私有RSA2048密钥。因为这种变种使用这个RSA密钥来加密每个文件的密钥,因此该RSA私钥可能是特定于活动的。用于Maze操作者的M0yv x86/x64文件感染者的源代码。接下来,在我们发布了针对TargetCompany勒索软体的解密器后,发生了一些不愉快的事件。[这一解密器在二月份立即帮助了多名勒索软体受害者;然而,两周后,我们发现TargetCompany出现了一种新的变种,开始使用“avast”的扩展名来加密文件。随后,恶意软体作者更改了加密算法,因此我们的免费解密工具不能解密最新的变种。
值得庆幸的是,我们还分析了多个变种的“Prometheus”勒索软体,并发布了免费解密工具。这个工具涵盖了所有可解密的变种,甚至包括最新的变种。
雅库布克劳斯特克,恶意软体研究总监拉迪斯拉夫泽祖拉,恶意软体研究员
远端存取木马RATs
新的一年,新的RAT活动。在Q4/21报告中提到的RAT活动下降趋势,证明只是暂时性的;现实是这条声明的教科书范例。即使是恶意行为者在新年初期也会放假,随后便返回工作。
在下图中,我们可以看到Q4/21对比Q1/22的RAT活动:
本季度受影响最严重的国家是中国、塔吉克斯坦、吉尔吉斯斯坦、伊拉克、哈萨克斯坦和俄罗斯。哈萨克斯坦会提到是因为出现了新的RAT触目。此次我们还在与当前战争相关的国家里发现了风险比率“Q/Q”呈高增长的趋势:乌克兰54、俄罗斯53和白俄罗斯46。
本季度,我们发现了一个新活动,分发多个RAT,触及成千上万用户,主要在意大利1900、罗马尼亚1100和保加利亚950。该活动利用了CrypterCrypter是一种特定工具,用于隐蔽和保护目标有效载荷,我们称之为“Rattler”,这确保了任意恶意软体在受害者PC上的分发。目前这款Crypter主要分发远端存取木马,针对“Warzone”、“Remcos”和“NetWire”。Warzone的主要攻击活动似乎在过去三个月中也发生了一些变化。在一月和二月,我们收到了大量来自俄罗斯和乌克兰的检测。不过,这一趋势在三月出现了反转,这两国的检测量减少,西班牙的检测量则显著增加,显示出新的恶意活动。
Q1中最流行的RAT有:
njRATWarzoneRemcosAsyncRatNanoCoreNetWireQuasarRATPoisionIvyAdwindOrcus受检测增加幅度最高的恶意家庭中,包括Lilith、LuminosityLink和Gh0stCringe。Gh0stCringe增加的原因之一是这一恶意活动在“防护不力的”MySQL和Microsoft SQL数据库上蔓延。我们还见证了前两名的主要RAT的变化。在Q4/21中,最普遍的是Warzone,而这个季度则下降了23。相对于此,njRat家族则增长了32,最惊讶的是,“Adwind”进入了前十名的名单中。
除了一般的恶意活动,这一季度还出现了两个重要的原因。第一是Lapsus骇客集团的入侵和泄露,第二是与乌克兰的战争。
Lapsus骇客组织针对了许多知名科技公司,如“Nvidia”、“三星”和”微软”。例如,在NVIDIA的Lapsus事件中,该骇客组织窃取了约1TB的数据,然后开始泄露这些数据。泄露的数据中包含“二进制签名证书”,稍后用于签名恶意二进制文件。这类经签名的恶意软体中,比如“Quasar RAT”。
然后,乌克兰的冲突展示了信息技术的优势及网络安全的重要性因为斗争不仅发生在战场上,还发生在网络空间中,伴随著DDoS攻击、数据窃取、利用、网络间谍和其他技术。但除了这些参与战争的国家外,寻找资讯的普通人士也成为了恶意活动的易受害者。某个这样的活动涉及通过电子邮件发送附加的办公文档,这些文档宣称包含有关战争的重要信息。不幸的是,这些文件只是用来用Remcos RAT感染人们的方式,通过Microsoft Word RCE漏洞“CVE201711882”,攻击者能够轻易地感染未修补的系统。
如往常一样,不仅出现了旧有的恶意活动。这一季度还带来了一些新的活动。首个加入我们RAT名单的是IceBot。这个RAT似乎是APT组织FIN7的创造;它具备所有通常的基本功能,如截屏、远程代码执行、档案传输和检测已安装的AV。
另一个是Hodur。这一RAT是PlugX的变种也称为Korplug,与中国的APT组织相关联。Hodur不同之处在于使用不同的编码、配置能力和CampC命令。这款RAT允许攻击者记录击键,操控文件,描述系统信息等。
我们提到哈萨克斯坦与名单中的新RAT有关。这款RAT名为Borat RAT。这个名字取自流行喜剧电影《Borat》,主角Borat Sagdijev由演员萨查巴伦科恩诠释。你是否知道,在现实中,电影中展现哈萨克斯坦村庄的部分并非在那里拍摄,而是在罗马尼亚的Glod村?
这款RAT是一个NET二进制文件,使用简单的源代码混淆。Borat RAT最初在骇客论坛上被发现,具有许多能力。一些功能包括触发BSOD、防沙箱、防虚拟机、窃取密码、网络摄像头监控、文件操控等。除了这些内建的功能外,还可以进行扩展模块功能。这些模块是根据需要下载的DLL,让攻击者增加多种新能力。当前可用模块的列表包括“Ransomwaredll”用于加密文件,“Discorddll”用于窃取Discord令牌,以及其他许多。
以下是Borat RAT管理面板的示例。
我们还注意到这一季度使用Python编译和Go语言的ELF二进制文件的数量增长。这些恶意行为者使用开源RAT项目即Bring Your Own Botnet或Ares和合法服务例如Onionpet、termbincom或Discord来攻击系统。我们也是最早针对Backdoorit和Caligula RAT的用户采取行动的机构;这两个恶意家族都是使用Go编写并在我们的蜜罐中捕获的。
火烧云加速器app萨缪尔西多,恶意软体研究员詹鲁宾,恶意软体研究员大卫阿尔瓦雷斯,恶意软体研究员
内核级隐藏程式
在Q1/22中,比起上一季度,内核级隐藏程式的活动有所下降,回归至长期水平,如下图所示。
Q1/22更详细的数据显示,1月和2月的活动高于3月。
在Q1/22中,我们监视了各种根级隐藏程式。然而,我们已经确定大约37的隐藏程式活动来自r77RootkitR77RK,这是一个由bytecode77作为开放源码专案开发的工具。这款隐藏程式在Ring 3运作,与通常在Ring 0运作的隐藏程式不同。R77RK是一个可配置的工具,可以隐藏文件、目录、计划任务、进程、服务、连接等。此工具兼容Windows 7和Windows 10。结果是,R77RK与几种不同类型的恶意软体一起被捕获,作为需要隐藏恶意活动的恶意软体的支持库。
下图显示,在保护用户方面,中国仍然是受影响最严重的国家。此外,中国的风险增长约为58 ,尽管总隐藏程式活动的数量相比Q4/21低了许多倍。此现象是由于Cerbu隐藏程式不再在全球范围内传播,使得主要隐藏程式活动再次转向中国。具体来说,越南、泰国、捷克共和国和埃及等国家的隐藏程式活动已减少。
[![](https//decodedavastio/wpcontent/uploads/sites/2