卡巴斯基：2018年度安全大事件盘点

6月份，我们报告了一项针对中亚国家数据中心的持续恶意活动。在这一活动中，目标的选择尤为重要，这意味着攻击者能够一举获得大量的政府资源。我们认为，攻击者通过在相应国家的官方网站上插入恶意脚本来执行水坑攻击。我们根据恶意活动中所使用的工具和策略，以及C&C服务器update.iaacstudio[.]com，推断该恶意活动由LuckyMouse组织进行(又名EmissaryPanda和APT27)。该恶意组织此前的目标是政府组织，也包括中亚地区的组织。用于攻击数据中心的原始载体尚不清楚。我们此前观察到，LuckyMouse使用武器化工具，借助CVE-2017-11882(Microsoft Office公式编辑器漏洞，自2017年12月以来被广泛使用)进行攻击，但我们无法证明这一系列工具与此次攻击有关。攻击者可能会使用水坑攻击的方式来感染数据中心内部的计算机。

在9月，我们报道了LuckyMouse的另一起活动。自3月份以来，我们发现了一些感染行为，其中一个以前未知的木马被注入到“lsass.exe”系统进程内存中。注入过程是由经过签名的32位或64位网络过滤驱动程序NDISProxy实现，这一驱动程序由中国的LeagSoft公司签署，该公司是一家位于深圳的信息安全软件开发商，我们通过CN-CERT报告了这一问题。该恶意活动针对的是中亚政府组织，我们认为此次攻击与该地区的高层会议有关。在攻击中所使用的Earthworm隧道，对于使用中文的恶意组织来说是非常典型的。此外，攻击者使用的命令之一(-s rssocks -d 103.75.190[.]28 -e 443)创建了到先前已知的LuckyMouse C&C服务器的隧道。该恶意活动所针对的目标，也与该恶意组织此前选择的目标一致。我们没有发现任何鱼叉式网络钓鱼或水坑活动的迹象，我们认为攻击者是通过已经被攻陷的网络来进行恶意软件传播。

Lazarus是一个成熟的恶意组织，从2009年以来就开始进行网络间谍活动和网络破坏活动。近年来，该组织开始针对全球金融组织开展恶意活动。在8月，我们发现该组织已经成功攻陷了几家银行，并渗透了一些全球加密货币交易所和金融科技公司。在协助应急响应的同时，我们了解到受害者是通过带有木马的加密货币交易应用被感染的。一位安全意识较为薄弱的员工从看似合法的网站下载了第三方应用程序，并感染了一个名为Fallchill的恶意软件，这是Lazarus近期开始使用的劳工具。似乎Lazarus已经找到了一种有效的方法来创建一个看起来合法的网站，并将恶意Payload注入到看似合法的软件更新机制中。在这种情况下，恶意组织创建了一个虚假的供应链，而并没有攻陷一个真正的供应链。无论如何，Lazarus集团在攻击供应链方面取得的成功，表明了他们会继续利用这种攻击方式。攻击者针对非Windows平台做出了额外的努力，并且开发了针对macOS系统的恶意软件，同时该网站提示称Linux版本即将推出。这可能是我们第一次发现这个APT组织利用针对macOS的恶意软件。看起来，为了针对特定高级目标发动攻击，恶意组织被迫要开发macOS恶意软件工具。Lazarus集团扩展其目标操作系统列表的事实，应该为非Windows用户敲响警钟。读者可以在这里阅读我们关于AppleJeus的报告。

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!