一份新的报告称,最近一系列的针对电子游戏公司的勒索软件攻击与臭名昭著的APT27威胁组织有密切的关系,这表明高级持续性威胁(APT)正在改变过去的间谍集中战术,转而采用勒索软件进行攻击。
研究人员注意到此次攻击与APT27的 "密切联系",它们作为供应链攻击的一部分,它们被引入了去年影响全球主要游戏公司的勒索软件攻击事件的名单中。这些事件的细节(包括具体的公司名称和时间)很少。然而,虽然研究人员告诉Threatpost,他们无法说出具体的被攻击的游戏公司的名字,但他们表示已经有五家公司受到了攻击的影响。更重要的是,其中两家受影响的公司是 "世界上最大的公司之一"。
研究人员表示,APT27(又称Bronze Union、LuckyMouse和Emissary Panda),据说是在中国境内运营的一个威胁组织,自2013年以来就一直存在。 该组织向来是利用开源的工具来接入互联网,其攻击目的是为了收集政治和军事情报。而且,它此前一直在做网络间谍和数据窃取方面的攻击,而不是仅仅为了金钱利益而发动攻击。
Profero和Security Joes的研究人员在周一的联合分析中指出:"此前,APT27并不是为了经济利益而发动攻击,因此此次采用勒索软件的攻击策略是很不同寻常的。然而此次事件发生时,正值COVID-19在中国国内流行,因此转为为了经济利益而发动攻击也就不足为奇了。"
供应链攻击
研究人员还表示,此次攻击是通过第三方服务商来进行攻击的,而且该服务商此前曾被另一家第三方服务商感染。
在对该安全事件进行更深一步的调查后,研究人员发现恶意软件样本与2020年初的一个名为DRBControl的攻击活动有关。趋势科技的研究人员此前发现了这个攻击活动,指出它与APT27和Winnti供应链攻击团伙有密切联系。DRBControl后门攻击的特点是,它通过渗透攻击非法的赌博公司,并使用Dropbox对其进行指挥控制(C2)通信。
Profero和Security Joes的研究人员在最近的攻击活动中发现了和DRBControl "非常相似的样本"(他们称之为 "Clambling "样本,不过这个变种并没有Dropbox的功能。)
研究人员发现,DRBControl以及PlugX样本 ,都会使用Google Updater可执行文件来使自己加载到内存中,然而该可执行文件很容易受到DLL侧载攻击(侧载是指使用恶意DLL欺骗合法DLL,然后依靠合法Windows可执行文件执行恶意代码的过程)。研究人员表示,这两个样本都使用了经过签名的Google Updater,两个DLL都被标记为goopdate.dll。
研究人员说:"这两个样本的每一个样本都有一个合法的可执行文件,一个恶意DLL和一个由shellcode组成的二进制文件,它们负责从自身提取有效载荷并在内存中进行运行"。
网络攻击者会通过对第三方公司进行渗透并获得了该公司系统的一个傀儡机后,为了协助横向移动攻击,会再部署一个ASPXSpy webshell。
研究人员表示,此次事件中另一个特点是攻击的过程中使用了BitLocker对核心服务器进行加密,BitLocker是Windows中内置的一个驱动器加密工具。
他们说:"这个是很有趣的,因为在许多情况下,攻击者会将勒索软件投放到受害者的机器上,而不是直接使用本地工具进行攻击"。
APT27的线索
研究人员观察到此次攻击与APT27在战术、技术和程序(TTPs)方面都存在着"极强的联系"。
研究人员举例说,他们发现DRBControl样本和之前已确认的APT27攻击程序之间有很多相似之处。此外,活动中使用的ASPXSpy webshell的修改版本此前也曾出现在APT27的网络攻击中。而在发现后门文件的同时,研究人员还发现了一个利用CVE-2017-0213升级权限进行攻击的二进制文件,CVE-2017-0213是APT27之前使用过的微软Windows服务器的一个漏洞。
研究人员表示:"APT27过去曾利用这个漏洞来进行升级权限。”
Profero首席执行官Omri Segev Moyal告诉Threatpost,除了与之前APT27使用的工具库相匹配之外,研究人员还注意到了与之前APT27发动攻击的代码的相似性很高;而且,这次攻击所使用的域和之前其他的APT27相关的攻击有很高的匹配度。
研究人员还指出,此次攻击的各种流程与之前的APT27攻击有相似之处,包括用来执行不同函数的方法所使用的参数数量,以及使用DLL侧载攻击方法,主要的有效载荷存储在一个单独的文件中等等特征。
本文翻译自:https://threatpost.com/ransomware-major-gaming-companies-apt27/162735/如若转载,请注明原文地址。
