卡巴斯基研究人员解构了由APT组织Cycldek部署的一种更新的、更复杂的工具集,该组织至少从2013年起就一直针对东南亚的政府机构实施攻击。研究发现了一种之前未知的被称为USBCulprit的恶意软件,该恶意软件具有横向移动(通过在网络内移动获取目标数据的能力)和信息窃取能力。该恶意软件不仅增强了该组织已经很先进的工具集,还让攻击者具备了攻击网闸隔离设备的能力——这些设备在物理上是与外界隔绝的,没有直接连接到互联网。
Cycldek(又被称为GoblinPanda、APT27和Conimes)是最早在2013年发现的一个威胁组织,主要针对东南亚地区的高调目标,包括大型组织和政府实体实施攻击。卡巴斯基研究人员从2018年开始就一直在密切关注该组织的网络间谍攻击活动,其攻击目标包括东南亚地区多个国家的政府机构,主要为越南、泰国和老挝。他们所发现的是一个比预期更广泛的工具集。
2018年之后,大多数攻击都是通过包含政治主题的RTF文档的钓鱼邮件发起的。该组织利用这些文档中已知的漏洞,释放恶意有效载荷——一种名为NewCoreRAT的恶意软件。该恶意软其实包含两个具有高级数据功能的变种:BlueCore和RedCore。BlueCore似乎被用来部署针对越南的外交和政府目标进行攻击,而RedCore最早也是部署在越南,后来在老挝也被发现。这两种恶意软件变种都会下载以前未知的被称为USBCulprit的恶意软件。
USBCulprit从2014年起就开始活跃,起最新的样本于2019年还被发现。该恶意软件具有横向移动和数据窃取功能。一旦安装,它会扫描受感染设备的不同路径,收集带有特定扩展名的文档。之后,这些文档会被转移到连接系统的USB驱动器设备上。这表明这种恶意软件被设计来突破网闸隔离的设备:这些设备没有直接连接到互联网或没有与其他连接着互联网的计算机互通。通常,这些设备在物理上也是隔离的。这意味着唯一拷入或拷出数据的方法是利用可移动存储媒介,例如优盘。
由于这种恶意软件不会在受感染USB设备连接到计算机上时自动启动,所以很可能这种恶意软件需要人工操作来部署。
USBCulprit能够窃取特定的文件,包括那些在特定时间戳后最后修改的文件,还能够扩展其功能。该恶意软件的后续版本还能够从连接的USB设备执行具有特定名称的文件。总体来看,这是对该组织使用的越来越多的专有工具的一个补充。该恶意软件的其他功能还包括具有一个定制后门,一个窃取cookie的工具以及一个能够从基于Chromium的浏览器的数据库中窃取密码的工具。
“我们的分析表明,这个组织并不像我们之前认为的那样,是一个小的、不那么先进的APT组织。事实上,它在东南亚的存在范围要比最初的报告所认为的要广泛得多,使用的工具也要复杂得多,”全球研究和分析团队高级安全研究员 MarkLechtik评论说。
“Cycldek对东南亚地区重要目标的攻击很可能会继续进行。从2013年开始,该威胁组织的行动不仅没有停止,而且还在继续演化,新增新的恶意软件以及针对新的国家实施攻击。我们将继续监控Cycldek的活动,”全球研究和分析团队高级安全研究员 GiampaoloDedola补充说。
更多有关Cycldek所使用的工具集的详情,请访问Securelist.com.
为确保不受Cycldek以及其他APT组织的攻击,卡巴斯基专家建议:
·为您的安全运营中心(SOC)团队提供对最新威胁情报的访问,让他们了解威胁组织和网络罪犯使用的最新工具、技术和策略。
·为了实现端点级别的检测、调查和及时的事故修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
·除了采取基础的端点保护外,请部署能够在早期阶段在网络层面检测高级威胁的企业级的安全解决方案,例如卡巴斯基反针对性攻击平台。
·确保设备、软件、应用程序和服务及时安装最新的补丁。
·为您的员工提供基础的网络安全卫生培训,因为很多针对性攻击都是通过钓鱼攻击或其他社交工程技术开始的。进行模拟钓鱼攻击,确保他们知道如何辨别钓鱼邮件。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.