在2022年,针对iOS平台的攻击活动也保持活跃。
基于Google Project Zero项目统计,2022年APT攻击活动被披露利用的0day漏洞共计36个 [26],涉及7个厂商的13个产品。虽然比2021年披露的APT攻击利用的0day漏洞大幅减少,但漏洞利 用数量仍处于高位。360高级威胁研究院对2022年全球范围APT组织攻击活动进行分析:全年APT 攻击活动中利用的0day和Nday漏洞近70个,涉及超过40个APT组织。
2022年2月,360高级威胁研究院全球范围内率先捕获到APT-C-06(DarkHotel)组织利用 Firefox浏览器的2个在野0day漏洞(CVE-2022-26485、CVE-2022-26486)针对特定目标 进行水坑攻击。这也是2022年国内唯一一家捕获APT攻击活动中利用0day漏洞的安全厂商。2017 年至今,360捕获的APT组织攻击使用的在野0day漏洞数量,连续6年位居国内第一。
APT攻击呈现利用0day漏洞修复不全或者0day漏洞变种发起 攻击的趋势
在APT组织攻击活动中掌握0day漏洞意味着获得了目标系统的控制权限。但0day漏洞复用性 低、易泄露,目前主要靠漏洞挖掘人才进行挖掘。近期网络武器0day漏洞价格大幅攀升,某漏洞 收录平台对高风险漏洞甚至开出了数百万美金的高额赏金,0day漏洞成为APT组织越来越稀缺 的战略资源。在2022年APT组织在攻击活动中,展现出利用漏洞修复不全或者0day漏洞变种来 展开攻击的趋势。
通过对2022年披露的APT组织攻击活动利用的36个0day漏洞进行分析,发现至少有14个是之 前修复不全或已修复漏洞的变体。由于0day漏洞的稀缺性,APT组织更加注重通过漏洞的补丁 绕过等方式,充分发挥0day漏洞的价值。在野0day被修复后,攻击者利用原始0day漏洞的变 体,再次发起攻击。2022年APT组织利用0day漏洞发起的攻击活动,有较大比例可通过更全面 的打补丁和回归测试得以有效阻止。
面对持续披露的APT利用0day漏洞攻击,重点单位可通过持续跟踪APT组织攻击趋势,及时和 全面的打补丁和回归测试,对此类攻击活动实现拦截和防御。同时,维护国家网络安全需要不断 完善国家级漏洞收集和获取机制,掌握网络空间对抗的主动权。
APT和网络犯罪组织持续利用log4j2漏洞展开网络攻击活动
2021年12月Apache Log4j2核弹级漏洞事件曝光后,360高级威胁研究院预测APT组织利 用Log4j2漏洞的攻击活动会进一步活跃。在2022年,使用Log4j2漏洞展开的网络攻击活动陆 续被披露。
具有中东背景的APT35组织在年初吸引了大量的关注,其率先被披露利用Log4j2漏洞分发 新的模块化PowerShell工具包,并在三月开发了新的PowerShell后门PowerLess,另外 Lazarus组织等部分APT和网络犯罪组织也在上半年被披露利用Log4j2漏洞展开相关的攻击 活动。
2022年1月,安全厂商披露了针对中东和南亚的APT组织Bahamut[37],使用钓鱼网站投递未 被披露过的移动RAT样本。该样本伪装成聊天软件,聊天功能和远控功能单独开发,聊天功能的 服务器和远控功能的C2使用相同地址。样本恶意代码高度模块化编写质量高,使用数据库存储 各类信息。除了窃取短信、联系人、通话记录等常见用户隐私信息外,还会借助辅助功能重点窃取 大量知名社交软件的聊天信息,属于该组织的特有攻击武器。
2022年上半年,我们监测到了具有间谍功能的Android植入样本VolatileVenom和 VajraSpy,攻击者能够从受害终端窃取大量数据。VolatileVenom使用HTTPS和Google Firebase Cloud Messaging(FCM)进行C2通信,同时通过链接指定网站读取网站标 题和接收短信消息的方式来查询C2;VajraSpy通过将窃取到的数据存储到指定的Firebase Cloud Firestore中,包括通话记录、通讯录、短信、文档、图片以及各种知名即时通讯软件聊天 记录等。
另外,在2022年,针对iOS平台的攻击活动也保持活跃。安全厂商披露了两起Pegasus监控活 动[38] ,主要集中在iOS用户,表明NSO Group组织在iOS平台上的攻击活动仍然活跃。
商业间谍软件供应商RCS Lab SpA和Tykelab Srl开发的Hermit间谍软件曾被发现用于针 对中东和欧洲地区的攻击活动,2022年被发现在中亚地区也有部署。Hermit是一款高度可配 置的监控软件,具有收集和传输数据的企业级功能,恶意功能隐藏在下载的其他有效负载中,在 样本投递阶段,攻击者可能会和ISP合作以禁用目标的移动数据连接,进而向受害者发送钓鱼短 信。攻击者通过将样本设置为专有内部应用分发iOS样本,样本包含多个iOS漏洞,能够窃取例如 Whatsapp的数据库。
2022年,APT组织针对我国重点行业领域的攻击活动仍旧保持较高热度,360高级威胁研究院 在2022年监测到的APT组织攻击活动中,针对中国发起的攻击活动共涉及14个APT组织,政府、 教育、信息技术、科研和国防军工等15个行业领域依然是APT组织攻击活动主要的目标领域。
2022年,在全球疫情相关热点事件和话题热度在今年回落之后,360高级威胁研究院捕获到的 APT攻击活动中投递使用的与“疫情防控”相关主题的钓鱼和诱饵样本,所占比例有所下降。
2022年APT组织涉及挖矿勒索攻击、窃取加密货币等形式的攻击活动持续被披露,呈现不断上升 的趋势。APT组织展开勒索攻击或窃取加密货币攻击活动的真实意图,既存在本身以牟利为目的, 也包含利用勒索加密攻击做真实攻击目的掩护。2022年自朝鲜半岛地区的APT组织APT-C-26 (Lazarus),通过各种攻击方式持续对金融和加密货币领域展开攻击渗透,同时其地区的APT组 织,如归属中东地区的Charming Kitten组织也被披露对攻击目标展开勒索攻击活动。
