Глобальный центр исследования и анализа угроз (GReAT) «Лаборатории Касперского» ведет наблюдение за более чем 900 APT-группами и кластерами активности. С результатами нашей работы можно ознакомиться в сводных отчетах за первый, второй и третий кварталы этого года. В этом ежегодном обзоре мы постарались собрать самые интересные тренды и события последних 12 месяцев. При его подготовке мы опирались на собственное представление о ландшафте угроз и поэтому хотим напомнить, что ни один поставщик защитных решений не располагает полной информацией о деятельности всех киберпреступников.
Частные поставщики ПО играют важную роль в формировании ландшафта угроз
Возможно, одной из самых громких новостей в 2021 году стало расследование, проведенное Guardian совместно с 16 другими СМИ. Согласно его результатам, опубликованным в июле, более 30 000 борцов за права человека, журналистов и юристов по всему миру могли стать жертвами шпионского ПО Pegasus. Авторы исследования под названием «Проект «Пегас» утверждают, что зловред использовал различные методы внедрения, в том числе эксплойты нулевого дня для iOS, активируемые без вмешательства пользователя. Криминалистический анализ множества мобильных устройств, проведенный Лабораторией безопасности международной организации Amnesty International, показал, что ПО Pegasus неоднократно использовалось для ведения неправомерной слежки за их владельцами. Список целей включал 14 мировых лидеров. Позднее в этом же месяце представители правительства Израиля посетили офисы компании NSO Group для проведения расследования по предъявленным обвинениям. В октябре Верховный суд Индии поручил создать технический комитет для расследования предполагаемых случаев правительственной слежки за гражданами с использованием Pegasus. А в ноябре компания Apple объявила, что подает иск против NSO Group, обвиняя разработчиков в создании программы для проведения атак на пользователей Apple с применением «вредоносного и шпионского ПО».
Обнаружить следы заражения Pegasus и другими продвинутыми зловредами для мобильных устройств бывает непросто, в том числе из-за особенностей защиты современных операционных систем, таких как iOS и Android. Расследование также осложняется использованием вредоносного ПО, которое не закрепляется на устройствах и исчезает после перезагрузки, почти не оставляя следов. Использование многих криминалистических инструментов предполагает перепрошивку устройства (джейлбрейк), приводящую к удалению зловредов из памяти. Однако в настоящее время существует несколько методов обнаружения Pegasus на мобильных устройствах. Так, бесплатный инструмент с открытым кодом MVT (Mobile Verification Toolkit), разработанный Amnesty International, помогает исследователям и техническим специалистам выявлять признаки заражения мобильных телефонов. К инструменту прилагается список индикаторов компрометации, собранный Amnesty International в ходе резонансных расследований.
Атаки на цепочку поставок
За прошедшие 12 месяцев мы наблюдали несколько громких атак на цепочку поставок. Так, в декабре жертвой комплексной атаки стал известный поставщик управляемых IT-услуг — компания SolarWinds. Компрометация разработанного ею решения для мониторинга и управления инфраструктурой Orion IT привела к установке кастомного бэкдора Sunburst в сетях более чем 18 000 клиентов SolarWinds, в числе которых были крупные корпорации и государственные учреждения в Северной Америке, Европе, на Ближнем Востоке и в Азии.
Но не все атаки на цепочку поставок были такими изощренными. Ранее в этом году APT-группа, которую мы называем BountyGlad, скомпрометировала центр сертификации в Монголии, заменив программу для управления цифровыми сертификатами вредоносным загрузчиком. Использование связанной с этой атакой инфраструктуры было выявлено и во множестве других инцидентов, таких как атаки на серверную часть сервисов WebSphere и WebLogic в Гонконге и установка на компьютеры клиентов троянизированного плагина Flash Player.
Исследуя артефакты, оставшиеся после атаки на государственный центр сертификации в Азии, мы обнаружили троянизированный пакет, созданный в июне 2020 года. Этот след привел нас к нескольким инструментам, задействуемым после компрометации, — они устанавливались как плагины с использованием вредоносного ПО PhantomNet, которое, в свою очередь, распространялось с помощью упомянутого пакета. Наш анализ показал, что эти плагины имеют сходство с уже известным нам вредоносным ПО CoughingDown.
В апреле 2021 года компания Codecov, поставщик решений для анализа покрытия кода, публично призналась, что ее скрипт Bash Uploader был скомпрометирован и распространялся в таком виде с 31 января до 1 апреля. Bash Uploader был создан для сбора информации о пользовательских средах выполнения и отчетов о покрытии кода с последующей отправкой результатов в инфраструктуру Codecov, поэтому его компрометацию фактически можно считать атакой на цепочку поставок.
Ранее в этом году мы узнали о кампаниях группировки Lazarus, в которых использовался обновленный кластер вредоносного ПО DeathNote. В ходе расследования мы выявили признаки того, что Lazarus разрабатывает инструменты для атаки на цепочку поставок. Одним из этих признаков была цепочка заражения, которая начиналась с легитимного защитного ПО из Южной Кореи, создающего вредоносную полезную нагрузку. Другим признаком стала атака на компанию, создающую решения для мониторинга активов, — нетипичный выбор жертвы для Lazarus. Для распространения вредоносного ПО группа использовала загрузчик Racket, подписанный украденным сертификатом. Злоумышленники скомпрометировали уязвимые веб-серверы и загрузили на них несколько скриптов для отбора целей и контроля вредоносных имплантов, установленных на компьютеры жертв.
Ранее неизвестная, предположительно китайскоязычная APT-группировка взломала сервер в одной из стран Восточной Азии и модифицировала распространяемый с него пакет с установщиком ПО для сканера отпечатков пальцев. Преступники изменили конфигурацию файла и добавили в пакет DLL-библиотеку с версией инъектора PlugX на базе .NET. Вышеупомянутое биометрическое ПО сотрудники центрального правительства страны использовали для подтверждения своего присутствия на рабочем месте. Эту атаку на цепочку поставок и данную версию PlugX мы назвали SmudgeX. Троянизированный установщик оставался на сервере с марта по июнь.
Эксплуатация уязвимостей
2 марта компания Microsoft сообщила, что новая APT-группировка HAFNIUM использовала четыре уязвимости нулевого дня в Exchange Server для проведения «отдельных целевых атак». На тот момент Microsoft утверждала, что, помимо HAFNIUM, этими уязвимостями воспользовались и некоторые другие APT-группы. Одновременно с этим компания Volexity также сообщала об использовании тех же самых уязвимостей нулевого дня в Exchange в начале 2021 года. Согласно данным телеметрии Volexity, некоторые из эксплойтов использовались и другими злоумышленниками, помимо HAFNIUM. А по данным телеметрии «Лаборатории Касперского», после публичного заявления Microsoft и выпуска исправления наблюдался резкий рост числа попыток эксплуатации этих уязвимостей. В первую неделю марта мы выявили приблизительно 1400 уникальных серверов, ставших целью для атак, в ходе которых злоумышленники использовали одну или несколько этих уязвимостей для получения первоначального доступа. По данным нашей телеметрии, большая часть попыток использования эксплойтов пришлась на серверы, расположенные в Европе и США. Некоторые из них были атакованы многократно и, судя по особенностям выполнения команд, разными APT-группами. Это позволяет предположить, что эксплойты были доступны нескольким группировкам.
Мы также обнаружили проводимую с середины марта кампанию, направленную на государственные учреждения в Европе и Азии. В ней для эксплуатации все тех же уязвимостей нулевого дня для Exchange Server преступники использовали новое семейство вредоносного ПО, получившее название FourteenHi. В ходе дальнейшего расследования мы нашли следы активности вариантов зловреда, созданных в прошлом году, а также обнаружили в операциях этой кампании частичные совпадения с атаками HAFNIUM. Они касались инфраструктуры, тактик, методов и процедур, а также использования вредоносного ПО ShadowPad в тот же самый период.
25 января специалисты группы по анализу угроз (Threat Analysis Group, TAG) компании Google заявили об атаках на исследователей кибербезопасности со стороны группировки, имеющей государственную поддержку. Согласно информации в блоге Google TAG, злоумышленники, используя изощренные приемы социальной инженерии, устанавливали контакт с исследователями в сфере кибербезопасности через социальные медиа и доставляли им скомпрометированный файл проекта Visual Studio или завлекали на страницу своего блога, где был размещен эксплойт для уязвимости в браузере Chrome. 31 марта Google TAG выпустила обновление этой новости, рассказав о новых поддельных профилях в социальных сетях и сайте несуществующей компании, который злоумышленники запустили в середине месяца. Наши специалисты подтвердили, что данные о некоторых инфраструктурах, описанных в блоге Google TAG, совпадают с теми, которые приведены в отчете «Лаборатории Касперского» о кластере вредоносного ПО ThreatNeedle группировки Lazarus. Более того, упомянутое Google вредоносное ПО по описанию совпадало с ThreatNeedle — зловредом, за которым мы ведем наблюдение с 2018 года. В ходе расследования наш коллега — исследователь в области кибербезопасности подтвердил, что также стал жертвой этой атаки, и поделился с нами подробностями. После расшифровки данных конфигурации со скомпрометированного хоста мы обнаружили дополнительные командные серверы. Так как во время нашего расследования эти серверы продолжали использоваться, нам удалось получить дополнительную информацию об атаках. Мы предполагаем, что инфраструктура из публикации Google TAG использовалась не только для атак на специалистов по кибербезопасности, но также и в других атаках, проводимых группой Lazarus. Мы обнаружили множество хостов, которые связывались с командными серверами непосредственно во время нашего исследования.
Продолжая наше исследование эксплойта уязвимости CVE-2021-1732, изначально обнаруженного центром аналитики угроз компании DBAPPSecurity и использованного группой BitterAPT, мы натолкнулись на еще один возможный эксплойт нулевого дня, который применялся в Азиатско-Тихоокеанском регионе. Анализ показал, что он предназначался для эскалации привилегий и использовался злоумышленниками по меньшей мере с ноября 2020 года. В феврале мы сообщили о своей находке Microsoft. Компания подтвердила, что он действительно использовал уязвимость нулевого дня, и присвоила ей обозначение CVE-2021-28310. Артефакты и другие оставленные следы позволяли с высокой уверенностью сказать, что эксплойты для CVE-2021-1732 и CVE-2021-28310 создал один и тот же разработчик, которого мы называем Moses. Судя по информации о предыдущих эксплойтах и злоумышленниках, которые их использовали, он сотрудничает с несколькими группировками. На сегодняшний день нам известны как минимум две из них: BitterAPT и DarkHotel. Сходство артефактов и других следов, а также информация, полученная нами в частном порядке от других компаний, позволяют предположить, что эксплойты по меньшей мере шести уязвимостей, которые мы наблюдали в течение последних двух лет, изначально были созданы разработчиком Moses. Хотя мы наблюдали применение этого эксплойта для эскалации привилегий в реальной среде, мы не смогли напрямую связать его ни с одной из действующих группировок. Вероятно, злоумышленники применяли его в связке с другими браузерными эксплойтами для выхода за пределы песочницы и получения системных привилегий. К сожалению, мы не смогли отследить всю цепочку заражения, поэтому пока не знаем, использовался ли этот эксплойт в сочетании с другим эксплойтом браузерной уязвимости нулевого дня или же с эксплойтами на основе известных уязвимостей, уже получивших исправления.
14–15 апреля с помощью технологий «Лаборатории Касперского» была обнаружена волна узконаправленных атак на множество компаний. Детальный анализ показал, что во всех этих атаках использовалась цепочка эксплойтов нулевого дня для Google Chrome и Microsoft Windows. Хотя нам не удалось обнаружить эксплойт для удаленного выполнения кода (RCE) в браузере Chrome, мы смогли найти и проанализировать эксплойт, который применялся для выхода за пределы песочницы и получения системных привилегий (EoP). Он был настроен на работу в последних и наиболее известных сборках Windows 10: 17763 (RS5), 18362 (19H1), 18363 (19H2), 19041 (20H1), 19042 (20H2) и использовал две различные уязвимости в ядре ОС Microsoft Windows. Мы сообщили о них в компанию Microsoft. Уязвимости, связанной с раскрытием информации, был присвоен номер CVE-2021-31955, а EoP-уязвимости — номер CVE-2021-31956. Обе они были исправлены 8 июня в июньском вторничном обновлении. Эта цепочка эксплойтов пытается внедрить зловред в систему с помощью дроппера. Зловред запускается как системная служба и загружает полезную нагрузку — бэкдор, работающий как удаленный терминал, который соединяется с сервером злоумышленников для получения команд. Мы не смогли найти никаких связей или иных пересечений с известными APT-группами, поэтому предварительно дали этому кластеру активности название PuzzleMaker.
В конце года мы обнаружили волну атак на серверные версии Windows с использованием эксплойта для эскалации привилегий. Детальный анализ показал, что мы имеем дело с уязвимостью нулевого дня типа use-after-free в файле Win32k.sys. Мы сообщили об этой уязвимости компании Microsoft, которая впоследствии исправила ее, присвоив ей название CVE-2021-40449. Для ее эксплуатации преступники использовали вредоносное ПО из кластера, который мы назвали MysterySnail. Изучив его, мы обнаружили совпадения в инфраструктуре, указывающие на связь с APT-группировкой IronHusky.
Уязвимости в прошивках
В сентябре мы опубликовали обзор импланта FinSpy для персональных компьютеров, в котором рассказывалось о версиях этой программы не только для Windows, но также для Linux и macOS. FinSpy — это печально известный коммерческий инструментарий для «легальной слежки». В прошлом неправительственные организации неоднократно сообщали о случаях его использования против журналистов, политических диссидентов и борцов за права человека. Изначально имплант FinSpy для Windows распространялся посредством одноэтапного установщика. Эта версия неоднократно обнаруживалась и анализировалась специалистами по ИБ вплоть до 2018 года. Затем частота ее обнаружений пошла на спад. Причины этой аномалии определить не удалось, однако мы начали детектировать подозрительные установщики с бэкдором в виде загрузчиков Metasploit. Нам не удавалось связать эти пакеты с конкретной группировкой до середины 2019 года, когда мы нашли хост, служащий сервером для таких установщиков, а также для мобильных имплантов FinSpy для Android. В ходе расследования мы обнаружили, что установщики с бэкдором представляют собой импланты первого этапа для загрузки и развертывания следующих полезных нагрузок перед установкой основного троянца FinSpy. Помимо троянизированных установщиков, мы наблюдали заражение с использованием буткита для UEFI или MBR. Если заражение MBR — метод, известный по меньшей мере с 2014 года, то о бутките для UEFI было впервые рассказано в нашем сентябрьском отчете.
В конце третьего квартала 2021 года нам удалось выявить ранее неизвестную вредоносную полезную нагрузку с продвинутыми возможностями, которая распространялась в системах различных правительственных организаций и телекоммуникационных компаний на Ближнем Востоке посредством двух цепочек заражения. Эта полезная нагрузка использовала руткит, работающий в режиме ядра Windows, для выполнения ряда операций и могла закрепляться в системе через буткит для MBR или UEFI. Интересно, что некоторые из компонентов, обнаруженных в ходе анализа этой атаки, оказались аналогичны тем, которые оставлял в памяти агент Slingshot (не путать с APT-группировкой Slingshot) — фреймворка, используемого после компрометации жертвы, о котором мы уже неоднократно писали ранее. Slingshot известен главным образом как легальный коммерческий инструментарий для тестирования на проникновение с участием red team, однако злоумышленники уже давно взяли его на вооружение. В одном из отчетов за 2019 год, посвященных деятельности группировки FruityArmor, мы рассказывали о том, как преступники использовали этот фреймворк в атаках на различные организации на Ближнем Востоке. Вектором заражения при этом, вероятно, служил неизвестный эксплойт для мессенджера. В одном из недавних приватных аналитических отчетов мы представили детальный анализ новых вредоносных инструментов, обнаруженных вместе с фреймворком Slingshot, и их использования в различных кластерах активности. В частности, там рассказывается о некоторых продвинутых функциях этого вредоносного ПО и его применении в долговременной атаке на высокостатусные дипломатические организации на Ближнем Востоке.
Обзор APT-угроз за 2021 год