来源:APT trends report Q1 2023
每季度,卡巴斯基全球研究与分析团队(GReAT)都会发布一份关于高级持续性威胁(APT)活动的深度总结。这些报告基于其私有威胁情报网络,揭示了那些未被广泛披露、却真实影响全球政企安全的隐蔽攻击。
2023年第一季度,地缘政治冲突持续发酵,APT组织的活动也呈现出技术迭代加速、攻击语言多样化、目标高度分散的特点。本文将对这一季度中最具代表性的威胁活动进行系统性梳理,帮助安全从业者洞察当前威胁格局。
俄罗斯语系活动:Tomiris与“静默金丝雀”
在追踪Turla组织的过程中,研究人员意外发现一个名为 TunnusSched 的后门(代号 QUIETCANARY)正通过另一个名为 Tomiris 的植入物进行投递。
Tomiris自2021年起活跃,其技术特征与Turla存在显著差异。因此,卡巴斯基评估认为,两者极有可能是独立实体。这一发现引出两种可能:
Tomiris正在对Turla实施“假旗攻击”,试图嫁祸于人;
两者存在合作关系,共享基础设施或攻击链。
更值得关注的是,Tomiris在2022年8月起开始使用一种用 Rust语言 编写的新型内存驻留植入物,命名为 JLORAT。该恶意软件一直活跃至2023年初,显示出攻击者对现代编程语言的熟练掌握。
Rust因其内存安全特性被广泛用于合法开发,但其在恶意软件中的应用正逐渐增多。JLORAT的出现表明,APT组织正在积极采用新技术以规避检测。
中文语系活动:Winnti关联的“目标插件”
卡巴斯基发现了一个名为 TargetPlug 的新型内存驻留植入物,自2022年10月起持续攻击韩国游戏开发公司。
该恶意软件的最大特点是:使用合法的数字证书进行签名。经分析,其使用的证书来自韩国知名游戏公司 Zepetto Co.,已被攻击者窃取并滥用。
TargetPlug与臭名昭著的 Winnti组织 存在多重关联:
基础设施重叠:共用C2服务器与域名
代码签名策略一致:均偏好使用被盗企业证书
受害者画像相似:长期聚焦游戏与软件行业
这一发现再次凸显了供应链攻击的严峻性——攻击者通过窃取开发者的信任凭证,使其恶意代码在终端上“合法化”。
卡巴斯基已通过正规渠道向相关机构报告了证书滥用情况。
中东地区:MuddyWater、OilRig与新锐Trila
MuddyWater:持续两年的鱼叉攻击
伊朗背景的 MuddyWater 组织自2021年7月起,持续对中东、北非及部分欧美国家发起大规模鱼叉式钓鱼攻击。
其目标涵盖政府、航空、能源、电信与金融等高价值行业。攻击邮件主题多与地区政治、军事合作、职位招聘相关,极具欺骗性。
受害者分布广泛,包括沙特、土耳其、阿联酋、埃及、约旦、巴林、科威特、以色列、叙利亚、阿塞拜疆、亚美尼亚、加拿大和马来西亚等国的机构。
该组织惯用PowerShell脚本作为初始载荷,技术门槛较低但效率极高,是典型的“低成本、高回报”攻击模式。
OilRig:利用Exchange邮箱的“潜伏者”
卡巴斯基在2022年底发现一种新型恶意软件,确认为 OilRig 组织旗下 Lookout 恶意软件的更新版本。
该变种仍基于.NET开发,但其核心机制极为隐蔽:利用受害者自身的Microsoft Exchange邮箱进行C2通信与数据外泄。
攻击者通过Exchange Web Services (EWS) 协议,读取特定邮件或文件夹作为指令通道,完全融入正常企业流量,极难被发现。
更危险的是,其中一款工具具备监控用户密码变更的能力,一旦密码更新,攻击者会立即收到通知,从而维持长期访问权限。
C2通信使用嵌入的Proton Mail和Gmail地址,经GPG签名分析,这些邮箱创建于2022年11月30日,表明这是一次近期发起的精准行动。
Trila:黎巴嫩政府的新威胁
一个此前未被公开的组织 Trila 在2022年12月浮出水面,主要针对黎巴嫩政府实体。
其工具链极为简单,主要由自研的.NET远程控制木马构成,功能仅限于:
执行系统命令
收集敏感信息
通过SOCKS代理进行通信
值得注意的是,其C2服务器使用了一个公开的 interact.sh 项目实例,这是一种常被红队用于快速搭建临时C2的合法服务。
此外,研究人员还发现了该组织的Go和Rust版本SOCKS代理工具,表明其正在尝试多语言部署以规避检测。
尽管技术粗糙,但Trila的出现提醒我们:新的地区性威胁组织仍在不断涌现。
LoneZerda:利比亚的“键盘幽灵”
LoneZerda是一个被认为源自利比亚的APT组织,最早由Checkpoint在2019年披露。其惯用手法是创建政治主题的Facebook页面,诱导目标下载恶意软件。
卡巴斯基最新发现,该组织的键盘记录模块仍在多个高价值目标的电脑上运行,尽管其C2基础设施早在2020年3月已被“sinkhole”(接管封禁)。
这表明,即使攻击者的服务器被摧毁,其植入物仍可能在目标网络中长期潜伏,持续窃取信息。
东南亚与朝鲜半岛:Origami Elephant、ScarCruft与Lazarus
Origami Elephant:双框架攻击链
该组织长期活跃于东南亚,2023年第一季度仍保持高频活动。其攻击链分为两条:
部署已知框架 Agent K11
部署新型框架 RTY(YTY AES的继任者)
初始阶段仍依赖宏文档,但其脚本结构更加复杂,并开始使用高级字符串混淆算法(非简单的XOR或加减法),以对抗静态分析。
同时,研究人员发现了两个新型下载器:MinHus 和 Stage,被认为是“Simple Uploader”的新版本。
ScarCruft:利用云端信使的朝鲜间谍
ScarCruft是朝鲜背景的间谍组织,主要针对与朝鲜相关的个人,包括海外务工人员、学者、作家及向朝鲜汇款的商人。
其最新攻击中,首次发现使用 Go语言 编写的恶意软件,并通过合法的云消息服务 ably.com 进行C2通信。
研究人员通过监控该服务通道,前所未有地获取了攻击者的内部命令记录和已窃取数据。
新发现的最终载荷名为 SidLevel,具备强大的信息窃取能力,包括:
文件收集
屏幕截图
键盘记录
系统信息采集
Lazarus:背锅的UltraVNC与BLINDINCAN
Lazarus组织继续沿用其经典策略:篡改知名开源软件进行分发。
本次发现的是一款被后门化的 UltraVNC客户端,当用户正常连接远程桌面时,该程序会悄悄收集系统信息并回传至C2服务器。
其投递的第二阶段载荷为 BLINDINCAN 的更新版本,具备插件化扩展能力,可动态加载新功能模块。
攻击目标包括印度的制造业与房地产公司,以及巴基斯坦和保加利亚的电信企业。
此外,其子组织 Andariel(又称StonedFly)仍在使用 DTrack 后门,通过Log4j漏洞入侵服务器,并在科研领域(生物、基因、土壤、能源)部署 Yamabot 等后续载荷。
其他重要发现:巴基斯坦的“梦之国”
2023年3月,卡巴斯基发现一个针对巴基斯坦政府机构的新型模块化恶意软件,命名为 DreamLand。
其最大技术亮点是:使用Lua脚本语言及其JIT编译器执行恶意代码。
该恶意软件通过Lua的FFI(Foreign Function Interface)调用Windows API,实现反调试、隐蔽驻留和动态加载等功能。
这是自 AnimalFarm 和 Project Sauron 以来,首次在APT攻击中观察到Lua的实战应用,标志着攻击者正在探索更隐蔽的脚本化攻击路径。
总结:2023年Q1 APT趋势
本季度的APT活动呈现出以下几个显著趋势:
新老组织并存:Turla、Winnti、Lazarus等老牌组织持续进化,同时Trila等新锐力量不断涌现。
编程语言多样化:Go、Rust、Lua等现代语言被广泛用于开发恶意软件,提升了检测难度。
攻击目标高度分散:政府、外交、能源、金融、科研、游戏、制造、电信等行业均成目标。
地缘政治驱动明显:中东、朝鲜半岛、俄乌冲突地区仍是热点战场。
C2通信愈发隐蔽:滥用合法云服务(如Exchange、ably.com、interact.sh)成为主流。
供应链攻击持续升级:数字证书滥用、开源软件篡改等手段屡见不鲜。
安全建议
加强邮件安全防护,防范鱼叉式钓鱼与宏文档攻击。
监控Exchange等企业服务的异常API调用。
限制对interact.sh等公共C2服务的出站访问。
部署EDR解决方案,检测内存驻留、Lua脚本执行等异常行为。
定期审计数字证书使用情况,防止被盗用。
及时修补Log4j等高危漏洞,防范初始入侵。
网络安全是一场永无止境的攻防博弈。唯有持续关注威胁动态,才能在暗流涌动中守住防线。