APT威胁集团间的合作与新兴工具

关键要点

传统的APT威胁集团似乎正在相互靠拢，以应对新兴APT参与者带来的竞争压力。

在Kaspersky最新发布的中，他们将2023年第一季度描述为“繁忙的APT活动”时期。该安全公司表示，老旧与新兴的APT演员们忙于更新他们的工具组件，并在地理位置及目标行业上扩大攻击范围。

Kaspersky观察到的已经在扩展的成熟威胁演员包括Turla、MuddyWater、Winnti、Lazarus和ScarCruft。

Kaspersky全球研究与分析团队（GReAT）的首席安全研究员DavidEmm表示：“尽管我们数十年来一直在追踪相同的APT演员，但显然他们正在不断演变，采用新的技术和工具。”

在本周早些时候发布的另一份报告中，Kaspersky指出，另一个APT集团Tomiris的近期攻击似乎利用了之前与Turla相关的恶意软件KopiLuwak和TunnusSched。这表明这两个集团虽然很可能是独立的参与者，但正在互相交换技术。

Kaspersky在其APT季度趋势报告中进一步探讨了Tomiris和Turla的新关系。

“自2021年以来我们一直在追踪Tomiris，我们相信以中到高的信心认为它与Turla是独立存在的。所以，我们认为不是Tomiris在进行假旗攻击指控Turla，而是（更可能的）Turla与Tomiris在合作。”

该公司补充道：“这证明了成熟APT演员如何调整和进化他们的战术，以在竞争中继续保持领先地位。”

“此外，”Emm表示，“新兴威胁演员的出现意味着APT环境正在迅速变化，尤其是在这些动荡的时期。”

其中一个新兴的参与者是Kaspersky称之为Trila的集团，专门针对黎巴嫩政府机构。今年1月，Kaspersky发现了新型.NET恶意软件，用于远程命令执行，该恶意软件在2022年12月的攻击中被Trila使用。

“这个参与者的工具集主要由自制的简单恶意软件组成，能够让他们在感染的机器上远程执行Windows系统命令。收集到的信息随后被排除到一个合法的interact.sh项目实例，作为C2（指挥与控制攻击启动器）。”

除了.NET恶意软件，Kaspersky还发现了Go和Rust变体的自定义SOCKS代理工具，用于在受害者的环境中重定向C2通信。

去年年底，Kaspersky发现了一个名为CloudWizard的框架，专门针对位于俄罗斯与乌克兰冲突区的个人和组织。

“该框架自2017年以来持续被使用，活跃感染仍在继续。其目的是进行网络间谍活动，功能包括键盘记录、使用麦克风录音、截屏以及窃取网站密码和电子邮件。”

Kaspersky还发现了其他新的威胁，包括TargetPlug，这是一种内存植入物，用于针对韩国的游戏开发者。它使用有效的证书签名，并且似乎与Winnti威胁集团有关联。

新的ScarCruft恶意软件变种和C2服务器数据也已被发现。ScarCruft专注于对与北朝鲜政府有联系的个人进行监视，包括那些在国外生活和工作的人。

随着APT集团不断超越其传统目标，包括国家机构和高知名度受害者，它们的新工具也逐渐浮出水面。这些集团的目标范围日益扩展，涵盖航空、能源、制造、房地产、金融、电信、科学研究、信息技术和游戏等多个行业。这些行业中的公司通常拥有宝贵的数据或访问权限，能够帮助攻击者发起未来