一份新报告称,最近一系列勒索软件攻击和臭名昭著的电子游戏公司APT27威胁组织关系密切,说明高级持续威胁(APT)正在改变过去的间谍集中战术,转而采用勒索软件进行攻击。
研究人员注意到了攻击和攻击APT27的 "密切联系",作为供应链攻击的一部分,他们被列入去年影响世界主要游戏公司的勒索软件攻击名单。这些事件的细节(包括具体的公司名称和时间)很少。然而,尽管研究人员告诉我Threatpost,他们说不出被攻击的游戏公司的具体名字,但他们说有五家公司受到了攻击。更重要的是,其中两家受影响的公司是 "世界上最大的公司之一"。
研究人员说,APT27(又称Bronze Union、LuckyMouse和Emissary Panda),据说它是一个在中国运营的威胁组织,自2013年以来一直存在。 该组织一直使用开源工具访问互联网,目的是收集政治和军事情报。此外,它一直在攻击网络间谍和数据窃取,而不仅仅是为了金钱利益。
Profero和Security Joes在周一的联合分析中,研究人员指出:"此前,APT27这不是为了经济利益,所以勒索软件的攻击策略是不寻常的。然而,当事件发生时,正是COVID-19它在中国很流行,所以攻击转化为经济利益也就不足为奇了。"
供应链攻击
研究人员还表示,攻击是通过第三方服务提供商进行的,该服务提供商此前曾被另一家第三方服务提供商感染。
经过对安全事件的进一步调查,研究人员发现恶意软件样本和2020年初的一个名字DRBControl与攻击活动有关。趋势科技的研究人员之前发现了这种攻击活动,指出它与APT27和Winnti供应链攻击团伙密切相关。DRBControl后门攻击的特点是渗透攻击非法赌博公司并使用Dropbox指挥控制(C2)通信。
Profero和Security Joes研究人员在最近的攻击中发现了和DRBControl "样本非常相似"(他们称之为 "Clambling "样本,但这个变种没有Dropbox的功能。)
研究人员发现,DRBControl以及PlugX样品 ,将使用Google Updater可执行文件可以将自己加载到内存中,但可执行文件很容易接受DLL侧载攻击(侧载攻击)是指恶意使用DLL欺骗合法DLL,然后依法Windows可执行文件执行恶意代码的过程)。研究人员说,这两个样本都使用了签名的样本Google Updater,两个DLL都被标记为goopdate.dll。
研究人员说:"这两个样本的每个样本都有合法的可执行文件和恶意文件DLL和一个由shellcode由此组成的二进制文件中提取有效载荷并在内存中运行"。
网络攻击者将通过渗透第三方公司并获得公司系统的傀儡机来部署另一个傀儡机,以协助横向移动攻击ASPXSpy webshell。
研究人员表示,该事件的另一个特点是在攻击过程中使用BitLocker加密核心服务器,BitLocker是Windows内置驱动加密工具。
他们说:"这很有趣,因为在很多情况下,攻击者会把勒索软件放在受害者的机器上,而不是直接使用本地工具进行攻击"。
APT27的线索
研究人员观察到了攻击和攻击APT27战术、技术和程序(TTPs)各方面都存在"极强的联系"。
例如,研究人员说,他们发现了DRBControl样及以前确认的样本APT27攻击程序之间有许多相似之处。此外,在活动中使用ASPXSpy webshell修改版以前也出现过APT27的网络攻击中。而在发现后门文件的同时,研究人员还发现了一个利用CVE-2017-0213升级攻击权限的二进制文件,CVE-2017-0213是APT27以前用过的微软Windows服务器漏洞。
研究人员说:"APT27以前用这个漏洞升级权限。”
Profero首席执行官Omri Segev Moyal告诉Threatpost,除了与之前APT27除了工具库的匹配,研究人员还注意到它与以前相匹配APT27发动攻击的代码非常相似;此外,这次攻击使用的域和以前的其他域APT27相关攻击匹配度高。
研究人员还指出,这次攻击的各种过程与相比APT27攻击有相似之处,包括用于执行不同函数方法的参数数和使用DLL侧载攻击方法,主要有效载荷存储在单个文件中等特征。
本文翻译自:https://threatpost.com/ransomware-major-gaming-companies-apt27/162735/如果转载,请注明原始地址。