十大未查出幕后组织的APT攻击 _APT攻击

1.TajMahal早在2018年底，卡巴斯基的研究人员就发现了一个复杂的间谍框架，他们称之为“TajMahal” 。它由两个不同的软件包组成，分别称为“Tokyo”和“Yokohama”，它们能够窃取各种数据，包括从受害者设备上盗窃的CD数据和发送到打印机队列的文件。每个软件包都包含许多恶意工具：后门、键盘记录器、下载器、编排器、屏幕和网络摄像头抓取器、音频记录器等。总共发现了多达80个恶意模块。
在第一次发现它之前，TajMahal项目已经活跃了至少5年。更为神秘的是，它唯一已知的受害者是一个知名的外交对象。谁是这次袭击的幕后主使，是否还有其他受害者，或者整个工具的开发是否只是针对一个特定目标，这些问题仍然没有答案。
2. DarkUniverseDarkUniverse是研究人员在2018年发现并公布的另一个APT框架。从2009年到2017年，它在野外活动了至少八年，针对叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白俄罗斯和阿拉伯联合酋长国的至少20个民用和军事对象。该恶意软件通过带有恶意Microsoft office文档附件的钓鱼电子邮件传播。它由几个模块组成，负责不同的间谍活动，如键盘记录、邮件流量拦截、截屏、收集各种系统信息等。
DarkUniverse在野外被发现的唯一示例是，他们复杂的ItaDuke恶意软件释放了一个名为“Visaform Turkey.pdf”的零日PDF漏洞。DarkUniverse目前尚未被公开公布，也不清楚2017年之后它发生了什么。
3.PuzzleMaker2021年4月，研究人员利用复杂的零日漏洞链检测到几次有针对性的攻击。为了渗透系统，攻击者使用了谷歌Chrome RCE漏洞。虽然研究人员无法获取该漏洞的详细信息，但却非常怀疑存在问题的漏洞是CVE-2021-21224，该漏洞使攻击者能够在浏览器沙箱内执行任意代码。发起攻击后，攻击者利用windows内核中的信息泄露漏洞CVE-2021-31955获取EPROCESS结构的内核地址，并利用另一个Windows内核漏洞CVE-2021-31956提升权限。
成功利用这些漏洞后，由四个模块组成的自定义恶意软件将被发送到受感染的系统。这些模块是一个stager、dropper、service和远程shell，最后一个是最终的有效负载。研究人员将APT称为“PuzzleMaker” 。
已知APT活动的唯一薄弱环节是一种后利用技术，PuzzleMaker和CHAINSHOT恶意软件都使用了这种技术，至少有两个国家支持的攻击者也使用了这种技术。然而，这项技术是公开的，可以被不同的组织独立使用。
4. ProjectSauron(又名Strider)ProjectSauron于2015年9月首次被发现，当时卡巴斯基反目标攻击平台在一个客户组织中检测到异常的网络流量。该流量来自一个可疑库，该库被加载到域控制器服务器的内存中，并注册为Windows密码过滤器，该过滤器可以访问管理帐户的纯文本密码。事实证明，它是针对俄罗斯、伊朗、卢旺达，可能还有意大利语国家的政府、电信、科学、军事和金融组织的复杂APT平台的一部分。

文章插图

ProjectSauron的名字来源于其配置中提到的“Sauron”
ProjectSauron平台采用模块化结构。它会针对每个受害者各自定义一个核心植入程序，它们具有不同的文件名和大小，以及针对目标环境自定义的时间戳。这样一来，在另一个组织中发现的程序对其他受害者来说就没有什么价值了。这些核心植入程序就像后门一样，可以下载额外的模块并在内存中运行命令。该模块执行特定的间谍功能，如键盘记录，窃取文件，或从受感染的计算机和连接的USB设备劫持加密密钥。一个特殊的模块负责通过受感染的USB驱动器访问气隙系统。
ProjectSauron背后的组织使用了复杂的指挥与控制基础设施，涉及美国和欧洲范围广泛的不同ISP和多个IP地址。攻击者尽了一切努力在其操作中不创建可识别的模式。唯一可以自信地说的是，如果没有一个民族国家赞助商，这种复杂程度很难实现。值得注意的是，这个组织可能从其他知名的APT学习过，比如Duqu、Flame、Equation和Regin 。

文章插图

5. USB Thief早在2016年，研究人员就发现了一种USB恶意软件，其特点是具有复杂的自我保护机制。它被称为“USB Thief”，由六个文件组成，其中两个是配置文件，而其他四个是可执行文件。这些文件被设计成按照预先定义的顺序执行，其中一些文件是aes128加密的。加密密钥是使用唯一的USB设备ID和某些磁盘属性生成的这使得解密和运行文件变得很困难，除非是在受感染的USB驱动器上。