天际友盟：2021年上半年全球主要APT攻击活动报告（20页）.pdf

《天际友盟：2021年上半年全球主要APT攻击活动报告（20页）.pdf》由会员分享，可在线阅读，更多相关《天际友盟：2021年上半年全球主要APT攻击活动报告（20页）.pdf（20页珍藏版）》请在三个皮匠报告上搜索。

1、2020 年 12 月 13 日，安全公司 FireEye 发布报告，声称全球知名 IT 管理及监控软件供应商 SolarWinds 遭受供应链攻击。攻击者篡改了 SolarWinds Orion 平台软件更新包，分发被追踪为 SUNBURST 的恶意软件。由于SolarWinds 的客户群体十分庞大，给全球许多知名公司和政府组织机构都带来了安全危机，范围涉及北美，欧洲，亚洲和中东的政府，咨询，技术，电信和采掘业实体。在 2021 年 1 月份，安全研究人员发现 SolarWinds 攻击中使用的另一种被命名为 Raindrop 的恶意软件。 Raindrop 主要作为 Loader，可提供

2、Cobalt Strike 有效负载。2021 年 3 月，Microsoft 继续跟踪披露了 Solarwinds活动后期阶段(横向移动后)使用的三个系列恶意组件(GoldMax、Sibot、GoldFinder)。GoldMax 恶意软件采用Go 语言编写，主要作为与 c2 进行通信的后门，通过模拟系统管理软件上的计划任务来保持持久性。Sibot 则是一个由 VBScript 编写的恶意组件，功能包括持久性维护和下载执行有效负载。GoldFinder 是一个采用 Go 语言编写的恶意组件，可以作为自定义 HTTP 跟踪器，其记录数据包到达硬编码的 C2 服务器的路由或跳数。2021 年 4

3、 月，安全公司发现 SolarWinds 间谍活动影响的网络基础设施覆盖范围比美国政府和私营行业先前报告中确定的更为广泛。目前检测到的 18 台服务器很可能通过 Teardrop 和 Raindrop 与该活动中有针对性的次级Cobalt Strike 有效载荷进行通信。2021 年 5 月底，国内安全公司发现 Solarwinds 的攻击者利用合法的群发邮件服务 Constant Contact 伪装成一家美国开发组织，并向各种组织和垂直行业分发恶意 URL，针对 150 多个组织的大约 3000 个帐户。在 2021 年 3 月 2 日，Microsoft 发布了 Microsoft Ex

4、change Server 2013、2016 和 2019 的紧急带外补丁程序，更新修复预身份验证远程代码执行(RCE)漏洞链(CVE-2021-26855，CVE- 2021-26857，CVE-2021-26858和CVE-2021-27065)。这些漏洞可以让攻击者在不知道有效帐户凭据的情况下接管任何可访问的Exchange服务器。目前，研究人员发现多个 APT 组织已经开始使用该漏洞链展开攻击。其中就包括 HAFNIUM，这个黑客组织主要针对美国多个行业部门的实体，包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织。同时还有 Winnti Group，To

5、nto Team 等组织也利用此零日漏洞攻击了不同国家和行来的公司。今年上半年以来，勒索事件频出，不断有公司遭到勒索软件的入侵，有一些甚至已经交付赎金。两个典型的黑客组织利用勒索软件的事件如下：UNC2447 针对欧洲和北美的组织的活动：利用 SonicWall VPN 零日漏洞(CVE-2021-20016)部署恶意软件SOMBRAT 和 FIVEHANDS 勒索软件。FIVEHANDS 勒索软件是在 2020 年 10 月首次观察到的，和 HELLOKITTY 勒索软件相似，基于 DeathRansom 勒索软件。UNC2198 是一个针对北美各个行业的组织，其目标是通过部署勒索软件破坏网

6、络，从而进行入侵操作获取利益。 2020 年 7 月，UNC2198 开始利用 EDID 感染部署 MAZE 勒索软件。后续又发现在其他活动中部署了 EGREGOR 勒索软件。2021 年 3 月，LemonDuck(小黄鸭)挖矿活动再次进行了大版本的更新。其 Linux 挖矿模块引用了大量Outlaw 僵尸网络的代码，同时新增使用 WebLogic 未授权命令执行漏洞(CVE-2020-14882/14883)攻击模块。成功利用 WebLogic 漏洞后，将针对 Windo