十大未查出幕后组织的APT攻击( 二 ) _APT攻击

【十大未查出幕后组织的APT攻击】其中三个可执行文件是加载下一阶段文件的加载程序。为了确保文件按正确的顺序加载，它们使用以前加载的文件的哈希作为名称。此外，有些文件检查父进程的名称，如果名称错误就终止。最后一个有效负载是一个数据窃取器，它查看配置文件以获取关于要窃取什么数据、如何加密数据以及在哪里存储数据的信息。数据总是被转移到受感染USB设备上的某个位置。
USB Thief中实现的另一个有趣的技术是使用某些应用程序的便携版本，如记事本，Firefox和TrueCrypt，诱骗用户运行第一个恶意软件加载程序。为了实现这一目标，它将自己作为插件或动态链接库注入到这些应用程序的命令链中。当用户运行受感染的应用程序时，恶意软件也会启动。这种恶意软件并不普遍，极有可能用于涉及人力资源的高度针对性攻击。
研究人员怀疑它可能与Lamberts APT组织有关：

文章插图

6. TENSHO (又名White Tur)2021年初，在搜索假冒政府网站的钓鱼页面时，普华永道公司的研究人员偶然发现了一个用于仿冒塞尔维亚国防部证书的页面。这个页面引导他们找到了一个被称为“TENSHO”或“White turr”的未知攻击者。这个攻击者至少从2017年开始活跃，使用了多种独特的技术和工具，包括武器化文档、HTA和PowerShell脚本、Windows可执行程序和模仿政府网站的钓鱼页面。
在其他工具中，TENSHO使用OpenHardwareMonitor开源项目，其表面目的是监控设备温度、风扇速度和其他硬件健康数据。攻击者传播恶意的OpenHardwareMonitor包，该包旨在以PowerShell脚本或Windows二进制文件的形式传递TENSHO的恶意软件。
到目前为止，尚未发现该攻击者与任何已知的APT组织之间存在联系。TENSHO的目标是塞尔维亚和斯普斯卡共和国(波斯尼亚-黑塞哥维那境内的一个对象)境内的组织，显示出非常具体的区域利益。
7. PlexingEagle在阿姆斯特丹举行的2017年HITBSec会议上，Emmanuel Gadaix介绍了一个非常有趣的GSM网络间谍工具集的发现，该工具集可能是由一个非常先进的攻击组织部署的，是在对客户系统进行常规安全扫描时发现的。

文章插图

该攻击方案最初是由Gadaix的团队在一台被攻击者用作操作基础的Solaris 10设备上发现的。这样，攻击者利用对GSM基础设施和网络的先进知识，对执法部门通常用于窃听电话的功能进行修复，以实现他们自己的机制来拦截感兴趣的电话。在攻击中使用的恶意软件使用LUA编写，研究人员看到其他高级攻击者使用的语言，比如Flame和Project Sauron背后的那些人。该攻击和所谓的 “Athens Affair”之间有许多相似之处，这两个示例是已知的唯一在野外抓获的攻击者的示例。
8. SinSono2021年5月，向At&T、Verizon、T-Mobile等运营商提供短信路由服务的电信公司Syniverse检测到对其IT系统的未经授权访问。一项内部调查显示，2016年，一个未知的攻击者首次攻击了Syniverse的基础设施。五年来，他们一直在不被发现的情况下运行，访问了公司的内部数据库，并泄露了235名客户的电子数据传输(EDT)环境登录凭证。通过这些账户，攻击者可以访问高度敏感的消费者数据，例如通话记录和短信内容。
虽然该公司重置或停用了所有EDT客户的凭据，并联系了受影响的组织，但仍存在许多问题：例如，攻击者是否真得窃取了敏感数据。尽管该公司本身和一些依赖其服务的运营商没有发现重大攻击迹象，也没有试图破坏其流程，但研究人员既不知道谁是攻击者，也不知道他们的目标是什么。对与攻击有关的数据的分析表明，确认其背后的组织很困难。
9. MagicScroll(又名AcidBox)MagicScroll是一个复杂的恶意框架，于2019年首次被Palo Alto的研究人员发现。这是一种多级恶意软件，已知的样本很少，已知的受害者只有一个，位于俄罗斯，于2017年受到攻击。MagicScroll的初始感染阶段信息目前是缺失的。第一个已知阶段是作为安全支持提供者创建的加载程序，这是一个通常提供某些安全功能（如应用程序身份验证）的DLL 。MagicScroll滥用这个功能来实现对lass .exe进程的注入和可能的持久性。
加载程序的主要目的是解密和加载存储在注册表中的下一阶段模块。此模块利用VirtualBox驱动程序漏洞在内核模式下加载未签名的恶意驱动程序。据Palo Alto的研究人员说，以前在Turla活动中发现有攻击者利用了这一漏洞，但是没有迹象表明该攻击者与Turla活动背后的组织有任何联系。Palo Alto的研究人员还发现了与ProjectSauron的一些相似之处，但这些相似之处不足以表明这两个活动之间的联系。研究人员也没有发现MagicScroll和任何其他已知APT之间存在任何联系。