Обзор активности APT-групп в 2020 году

На данный момент мы отслеживаем деятельность более чем 900 APT-групп и в данном отчете, основанном на наших наблюдениях за ландшафтом угроз, постарались осветить наиболее интересные с нашей точки зрения тенденции и события за последние 12 месяцев (отчеты за I, II и III кварталы 2020 года). Надо оговориться, что ни один разработчик защитных решений не может полностью охватить в своих расследованиях действия всех злоумышленников.

Не только Windows

Хотя APT-группы по-прежнему чаще всего атакуют устройства на базе Windows, в этом году мы выявили ряд разработок, предназначенных для атак на другие платформы. В прошлом году мы сообщали о вредоносном фреймворке MATA, который, как мы считаем обязан своим происхождением группировке Lazarus. В апреле мы узнали, что мишенями MATA стали не только машины под управлением Windows и Linux, но и компьютеры с macOS. Для этого разработчики вредоносного ПО внедрили вредоносный код в приложение для двухфакторной аутентификации с открытыми исходниками и использовали  шаблон еще одного приложения с открытыми исходными кодами.

Для атак на устройства с macOS Lazarus применяла и другие инструменты. Так, мы выявили активность, связанную с «Операцией AppleJeus». Кроме этого, мы обнаружили вредоносное ПО, похожее на зловред для macOS, использованный в кампании TangDaiwbo: Lazarus использовали документы Office с вредоносными макросами и таким образом распространяли вредоносное ПО для Windows и macOS.

«Лаборатория Касперского» опубликовала данные о семействе зловредов Penquin, проследив его историю до Unix-зловредов, использованных в операции Moonlight Maze в 1990-х. Когда в мае исследователи из компании Leonardo опубликовали отчет о новом бэкдоре группы Turla Penquin — Penquin_x64, для GNU/Linux, мы создали инструменты, с помощью которых можно было выявлять устройства, зараженные  Penquin_x64. В результате мы обнаружили, что десятки серверов в Европе и США по сей день остаются скомпрометированными. Вполне вероятно, что после публикации отчетов об инструментах Turla для GNU/Linux группировка может перепрофилировать Penquin с традиционного шпионажа на другие операции.

В отчете о трендах APT-угроз за третий квартал 2020 года мы сообщали о кампании, которую назвали TunnelSnake. Анализируя активность злоумышленников в ходе этой кампании, мы смогли выявить инструменты для сканирования сети и бокового перемещения, которые использовали злоумышленниками после развертывания руткита Moriya. Мы выяснили также, что злоумышленники использовали инструменты с открытыми исходными кодами Earthworm и Termite, способные создавать удаленный терминал (remote shell) и туннелировать трафик между хостами. С их помощью можно атаковать архитектуры, широко используемые в устройствах интернета вещей, и это указывает на готовность злоумышленников выбирать такие устройства в качестве целей.

Заражение UEFI

Расследуя одну из целевых атак, мы обнаружили образ прошивки UEFI, содержащий вредоносные компоненты, которые записывают на диск ранее неизвестный зловред. Проведенный нами анализ показал, что модули прошивки созданы на основе известного буткита Vector-EDK, а внедряемый зловред является загрузчиком для последующих компонентов. Опираясь на уникальные характеристики обнаруженного вредоносного ПО, мы нашли в данных нашей телеметрии ряд аналогичных образцов, которые с 2017 года использовались против жертв из дипломатических кругов и имели различные векторы заражения. Несмотря на то, что логика функционирования у большинства из них была одинаковой, мы заметили, что некоторые образцы имели дополнительные функции или были реализованы иначе. В связи с этим мы сделали вывод, что бо́льшая часть образцов входит в состав масштабного вредоносного фреймворка, который мы назвали MosaicRegressor. Мишени – дипломатические и неправительственные организации в Азии, Европе и Африке – в той или иной мере связаны с Северной Кореей.

Импланты для мобильных устройств

Использование APT-группами имплантов для мобильных устройств не новость, атаки различных групп на мобильные платформы мы наблюдали и в этом году.

В январе мы обнаружили сайт, задействованный для атаки типа watering hole, через который жертвы получали цепочку эксплойтов для iOS. Судя по содержимому стартовой страницы этого сайта, он нацелен на пользователей из Гонконга. Хотя в настоящее время злоумышленники, ответственные за данную атаку, используют известные эксплойты, они активно модифицируют их набор, чтобы охватить больше версий iOS и устройств под ее управлением. Последние такие изменения мы наблюдали 7 февраля. Проект оказался более масштабным, чем казалось поначалу, – мы обнаружили в нем имплант для Android, а также, вероятно, импланты для Windows, Linux и macOS. Мы назвали эту APT-группу TwoSail Junk, полагаем, что она китайскоязычная группа, а ее инфраструктура преимущественно базируется в Гонконге, хотя несколько хостов располагаются в Сингапуре и Шанхае. TwoSail Junk отправляет посетителей на свой сайт с эксплойтами, размещая ссылки в обсуждениях на форумах или собственные темы. На текущий момент зафиксировано несколько десятков посещений вредоносных ресурсов пользователями из Гонконга и единичные переходы из Макао. Некоторые технические детали, связанные с набором функций этого импланта для iOS – мы назвали его LightSpy – и соответствующей инфраструктурой, указывают на низкий или средний уровень возможностей группы. Тем не менее этот имплант является модульной полнофункциональной шпионской платформой.

В августе мы опубликовали второй отчет о деятельности группы Transparent Tribe, в том числе об импланте для Android, который группа использовала для слежки за жертвами с помощью их мобильных устройств. В качестве одного из способов распространения использовалось поддельное приложение для отслеживания носителей COVID-19, разработанное правительством Индии. Жертвами атак стали, в частности, индийские военнослужащие. Исходя из общедоступной информации, мы предполагаем, что ссылка на приложение рассылалась с помощью WhatsApp, SMS, электронной почты и в социальных сетях.

В июне мы обнаружили новый набор вредоносных загрузчиков для Android. По данным нашей телеметрии, они активно используются как минимум с декабря 2019 года и были задействованы в кампании, направленной (почти исключительно) на цели в Пакистане. Их авторы распространяли вредоносное ПО через приложения, замаскированные под Chat Lite, Kashmir News Service и другие легитимные приложения для Android, популярные в Пакистане. В отчете Национального совета по безопасности телекоммуникаций и информационных технологий Пакистана (NTISB), опубликованном в январе, описывается вредоносное ПО, которое использует те же, что и в нашем случае, командные серверы и маскируется под те же легитимные приложения. Согласно этому документу, злоумышленники использовали сообщения в WhatsApp, SMS, электронную почту и социальные сети как исходные векторы заражения, а их целями были пакистанские военные организации. По данным нашей телеметрии, это вредоносное ПО распространяется также через Telegram. Анализ исходного набора загрузчиков позволил нам обнаружить еще один набор троянских программ, который, как мы полагаем, тесно связан с первым, поскольку эти программы используют имя пакета, упоминаемое в загрузчиках, и нацелены на те же объекты. Код новых образцов весьма похож на артефакты, которые были ранее приписаны группе Origami Elephant.

Охота на крупную дичь

В апреле мы опубликовали предупреждение о шифровальщике VHD, который впервые был замечен в конце марта. Этот вымогатель выделялся методом распространения, характерным больше для APT-кампаний, чем для шифровальщиков. На тот момент мы не смогли связать атаку с какой-либо из существующих APT-групп. Однако нам удалось обнаружить инцидент, в котором VHD, наряду с известными инструментами Lazarus использовался в атаках на предприятия Франции и Азии. Это может говорить о том, что за атаками шифровальщика стоит именно Lazarus. Также, насколько нам известно, это первый случай, когда группа Lazarus прибегла к целевым атакам с использованием шифровальщиков (известным как «охота на крупную дичь», big game hunting)

Naming and shaming

Несколько лет назад мы предсказывали, что правительства могут прибегнуть к стратегии «суда общественного мнения» (чтобы привлечь внимание к деятельности APT-групп, угрожающих стране. В этом году наше предсказание продолжило сбываться.

В феврале министерство юстиции США обвинило четырех офицеров Вооруженных сил Китая в мошенничестве, экономическом шпионаже и мошенничестве с использованием электронных средств коммуникации в связи со взломом информационных систем бюро кредитных историй Equifax в 2017 году. В следующем месяце обвинение было предъявлено еще двум гражданам Китая: в обвинительном заключении утверждалось, что они занимались отмыванием криптовалюты на сумму более 100 млн долларов, похищенной северокорейскими хакерами в период с декабря 2017 года по апрель 2019 года.

В мае Национальный центр кибербезопасности Великобритании (NCSC) и министерство национальной безопасности США (DHS) совместно опубликовали предупреждение о том, что они сообща расследуют ряд инцидентов в ходе которых были зафиксированы попытки похитить аналитические данные и закрытую информацию, в том числе связанную с исследованиями COVID-19. По мнению NCSC и DHS за ними стоят правительственные организации других стран.

ФБР и Агентство по кибербезопасности и защите инфраструктуры США (CISA) также выпустили предупреждение о том, что группировки, связанные с КНР, атаковали организации, занимающиеся исследованиями COVID-19 в США,

30 июля Европейский совет объявил о введении санкций против шести физических и трех юридических лиц, предположительно несущих ответственность за различные APT-атаки, включая попытку атаковать «Организацию по запрещению химического оружия» (OPCW), атаки WannaCry и NotPetya, и организацию кампании Operation Cloud Hopper. Санкции включают запрет на поездки и арест активов. Кроме того, физическим и юридическим лицам из ЕС запрещено предоставлять средства лицам из санкционного списка.

В сентябре министерство юстиции США выпустило три обвинительных акта против хакеров, предположительно связанных с группой APT41 и рядом атак, известных как операции Barium, Winnti, Wicked Panda и Wicked Spider. А 14 сентября в Ситиаване (Малайзия) совместными усилиями министерства юстиции США и правительства Малайзии, по обвинению в «сговоре для организации компьютерных атак на предприятия индустрии видеоигр с целью извлечения прибыли», были арестованы два гражданина Малайзии. В обвинительных актах содержится несколько косвенных индикаторов заражения, позволяющих нам связать эти атаки с операциями ShadowPad и ShadowHammer – двумя масштабными атаками на цепочку поставок.

В октябре министерство юстиции США предъявило шести сотрудникам российской военной разведки обвинения в проведении нескольких кибератак, включая атаки с использованием вируса NotPetya, атаки Olympic Destroyer во время зимних Олимпийских игр 2018 года, атаки на объекты во Франции, Грузии, Нидерландах, на Украине, а также попытки помешать расследованию случаев отравления токсичным веществом «Новичок» в Великобритании в 2018 году. Национальный центр кибербезопасности США также обвинил российские военные спецслужбы в проведении атак на организаторов и спонсоров Олимпийских игр 2020 года в Токио.

Лучшее – враг хорошего

Вредоносное ПО, разрабатываемое APT-группами, не обязательно должно быть технически сложным, чтобы хорошо работать. В качестве примера можно привести группу DeathStalker. Ее целями являются в основном юридические фирмы и компании финансового сектора, а специализация группы — похищение закрытой деловой информации. Все это привело нас к выводу, что DeathStalker либо проводит атаки по заказу, либо выступает в качестве торговца информацией в финансовых кругах. Впервые активность этой группы привлекла наше внимание, когда мы обнаружили имплант Powersing. В этом квартале мы расследовали процесс внедрения Powersing через LNK-файлы, используемый DeathStalker. Группа продолжает разрабатывать и использовать этот имплант, сохраняя неизменными бо́льшую часть своих тактических приемов, используемых с 2018 года, но при этом совершенствуя защиту от обнаружения. В августе мы опубликовали отчет о деятельности DeathStalker, в котором описали три набора инструментов на базе скриптовых языков: Powersing, Janicab и EVILNUM.

В конце июня 2020 года, после публикации закрытого отчета об EVILNUM, мы обнаружили новый набор имплантов и обратили внимание на перемены в прежде довольно однообразном стиле работы DeathStalker. Так, новое вредоносное ПО напрямую связывается с командным сервером, используя жестко прописанные в коде IP-адрес или домен, в отличие от предыдущих версий, где для получения адреса командного сервера использовались как минимум два DDR (Dead Drop Resolver) — легитимные веб-сервисы, например, форумы и платформы обмена кодом. Что интересно, в этой кампании злоумышленники не ограничивались простым фишингом. Чтобы увеличить вероятность взлома, они активно переписывались с жертвами, убеждая их в итоге открыть вредоносный файл. Более того, помимо использования Python-имплантов, злоумышленники впервые стали внедрять бинарные PE-файлы как промежуточный этап загрузки EVILNUM и применять продвинутые методы защиты от обнаружения .

Кроме того, мы обнаружили другой многоступенчатый и несложный с технической точки зрения имплант, используемый со второго квартала 2020 года, который мы с высокой степенью уверенности также приписываем группе DeathStalker. Для доставки используется документ Microsoft Word и внедряется ранее неизвестный PowerShell-имплант, который использует для связи с командным сервером протокол DNS over HTTPS (DoH). Мы назвали этот имплант PowerPepper. В октябре 2020 года мы идентифицировали несколько новых образцов инструментария PowerPepper, разработанных группой DeathStalker. От предыдущих версий они отличались, в частности, более эффективными методами защиты от обнаружения в песочнице. Кроме того, для доставки PowerPepper группа использовала новую цепочку заражения.

DeathStalker – хороший пример того, чего могут достичь небольшие группы или даже отдельные хорошо подготовленные хакеры, не изобретая новые приемы и не используя изощренные методы. И именно на DeathStalker должны ориентироваться частные организации в плане кибербезопасности – это уровень угрозы, с которым они вероятнее всего могут сегодня столкнуться. Мы советуем специалистам по информационной безопасности уделять особое внимание возникновению любых процессов, связанных со встроенными интерпретаторами Windows для скриптовых языков, такими как powershell.exe и cscript.exe. По возможности доступ к этим утилитам должен быть закрыт. При проведении тренингов по кибербезопасности или при оценке защитных продуктов также следует уделять внимание цепочкам заражения на базе LNK-файлов.

COVID-19

В условиях пандемии COVID-19 и карантина, введенного во многих странах, злоумышленники стали искать способы нажиться на страхе перед вирусом. В большинстве своем фишинговые атаки, связанные с COVID-19, проводят «обычные» злоумышленники. Однако в стороне не остались и такие известные APT-группы, как Lazarus, Sidewinder, Transparent Tribe, GroupA21, Kimsuky, APT27, IronHusky и ViciousPanda, которые также начали использовать тему коронавируса.

В марте мы обнаружили подозрительную инфраструктуру, которая могла быть использована для атак на мединциские и гуманитарные организации, включая ВОЗ. Данная инфраструктура была зарегистрирована еще до вспышки COVID-19, и мы не смогли с уверенностью связать ее с конкретной группой. Однако некоторые источники предполагают, что она может быть связана с группой DarkHotel.

Несколько месяцев спустя произошла серия атак на суперкомпьютерные вычислительные центры в Европе – в том числе на ARCHER в Великобритании, bwHPC в Германии и Швейцарский национальный суперкомпьютерный центр. В мае команда реагирования на инциденты компьютерной безопасности EGI (EGI-CSIRT) опубликовала предупреждение с описанием двух инцидентов и указанием на их возможную связь с этими атаками. Хотя мы не смогли с высокой степенью уверенности подтвердить, что атака на ARCHER и инциденты, описанные EGI-CSIRT, связаны, допускаем, что такое возможно. По мнению некоторых СМИ, эти атаки могут иметь отношение к исследованиям COVID-19, которые проводились в этих суперкомпьютерных центрах.

После публикации нашего первого отчета о WellMess (см. отчет о трендах APT-угроз во втором квартале 2020 года) Национальный центр кибербезопасности Великобритании (NCSC) совместно с правительственными организациями Канады и США выпустил технический бюллетень о последних атаках с использованием этого зловреда. В частности, все три организации считают, что за распространением вредоносного ПО, атакующего разработчиков вакцины от COVID-19, стоит группа The Dukes (также известная как APT29 и Cozy Bear). Хотя публикация NCSC повысила осведомленность широкой публики о вредоносном ПО, использованном в недавних атаках, заявления об атрибуции, сделанные всеми тремя правительственными организациями, не содержат достаточных доказательств, которые помогли бы другим исследователям подтвердить эту атрибуцию. Поэтому мы по-прежнему считаем, что WellMess использовала до сих пор неизвестная группа злоумышленников.

Мы не думаем, что интерес APT-групп к COVID-19 серьезно повлияет на их методы и тактические приемы: это просто популярная тема, помогающая завлекать жертв.

Подводя итоги

Мы продолжим отслеживать активность APT-групп и регулярно сообщать о наиболее интересных находках. Если вы хотите получить более подробную информацию о самых продвинутых APT-группах, пожалуйста, свяжитесь с нами по адресу intelreports@kaspersky.com.