主要观点总结
本文介绍了卡巴斯基全球研究与分析团队在2024年第二季度关于高级持续性威胁(APT)的季度更新报告。报告涵盖了各种APT活动的主要趋势和发现,包括XZ压缩程序后门、PcExter工具的进化、QSC框架和GoClient后门的部署、GOFFEE和SalmonQT的新活动、Gaza Cybergang组织的调整、神秘大象威胁者的新恶意软件家族、黑客行动主义组织的活动、模块化恶意软件框架Aniseed Vodka的发现、DinodasRAT的Linux变体的发展,以及CloudSorcerer和Telemos后门的新活动。报告强调了社会工程学的使用,并指出大多数APT活动的目的是进行网络间谍活动。最后强调,报告是基于公开信息和广泛报道的信息,使用某些语言并不一定表示特定的地理关系。
关键观点总结
关键观点1: XZ压缩程序后门成为本季度重点,通过社会工程学获取对开发环境的持续访问权限。
攻击者利用XZ Utils的漏洞(CVE-2024-3094)在Linux发行版中植入后门,最高严重性评分为10。后门具有远程代码执行功能,攻击者可使用自定义隐写技术隐藏解密公钥,并挂钩与RSA密钥操作相关的函数。
关键观点2: PcExter工具的进化及QSC框架和GoClient后门的部署受到关注。
PcExter 2.0能够收集数据并使用改进的文件搜索机制。QSC框架是一个在调查针对南亚电信行业攻击时发现的框架,攻击者还部署了名为GoClient的新后门。
关键观点3: GOFFEE和神秘大象威胁者的活动不断演变。
GOFFEE停止使用某些模块并继续利用之前基于HTA的感染链进行入侵。神秘大象威胁者使用新恶意软件家族和新基础设施进行攻击。
关键观点4: Gaza Cybergang组织调整其攻击策略。
该组织不再使用特定的工具进行侧载,而是使用更通用的诱饵主题。它仍展示特定的TTP,每次活动只针对少数目标。
关键观点5: 新的远程访问工具(RAT)SalmonQT被发现。
该样本使用GitHub的REST API接受指令和上传数据。虽然GitHub存储库的路径看似已被删除,但实际上是被设置为私有。
关键观点6: 黑客行动主义组织的活动引人注目。
例如,国土正义组织针对阿尔巴尼亚目标进行网络攻击,旨在传达反MEK的政治信息并扩大其在民众中的支持。
关键观点7: 模块化恶意软件框架Aniseed Vodka被新发现。
该框架具有高度的可配置性,允许操作员指定插件的操作参数并按特定间隔安排插件任务。
关键观点8: APT活动集中在全球各地,针对多个领域。
大多数APT活动的目的是进行网络间谍活动,尽管有些是为了经济利益。重点亮点是Linux发行版中的后门和多种工具的使用。
文章预览
六年来,卡巴斯基全球研究与分析团队 GReAT 一直在分享有关高级持续性威胁 (APT) 的季度更新。 这些摘要基于威胁情报研究,为我们在私人 APT 报告中发布和讨论 更详 细的内容提供了代表性概述。在最新一期中,将重点关注在 2024 年第二季度观察到的活动。 最新发现 3 月,人们在 XZ 中发现了一个后门,XZ 是一个集成在许多流行的 Linux 发行版中的压缩实用程序。OpenSSH 服务器进程 sshd 使用后门库 liblzma。OpenSSH 已修补以使用许多基于 systemd 的发行版(包括 Ubuntu、Debian 和 RedHat/Fedora Linux)上的 systemd 功能,因此依赖于此库(Arch Linux 和 Gentoo 不受影响)。 该代码是在 2024 年 2 月和 3 月插入的,主要由 Jia Cheong Tan(可能是虚构身份)插入。 攻击的可能目标是通过针对 XZ 构建过程将独占的远程代码执行功能引入 sshd 进程,然后将后门代码推送到主要的 Lin
………………………………
