卡巴斯基全球研究与分析团队(GReAT)发现了一个由 “Tropic Trooper”组织发起的新的高级持续性威胁(APT)活动。该活动已持续一年多,攻击目标为中东的一个政府实体,攻击目的是实施网络间谍活动。为了在目标网络内获得未经授权的访问权限并保持持久性,攻击者利用了China Chopper网页后门,GReAT专家在一个用于内容管理的可公开访问的开源网络服务器上发现了这个网页后门。
Tropic Trooper(又称KeyBoy和Pirate Panda)是一个至少自2011年以来一直活跃的高级持续性威胁(APT)组织。该组织历史上主要针对中国台湾、菲律宾和中国香港等地区的政府、医疗、交通和高科技行业实施攻击。然而,卡巴斯基最近的调查发现,2024年,Tropic Trooper针对中东地区的一个政府实体发起了持续性网络攻击活动,这些攻击至少从2023年6月就已经开始。
2024年6月,卡巴斯基的遥测技术检测到臭名昭著的China Chopper网页后门的一个新变种。卡巴斯基全球研究与分析团队(GReAT)的进一步调查发现,该木马被嵌入到Umbraco CMS中——这是一个广泛使用的公共网络服务器,托管着内容管理系统。攻击者利用该平台获得了广泛的恶意功能,包括数据窃取、完全远程控制、恶意软件部署和高级检测规避,最终目的是进行网络间谍活动。
卡巴斯基全球研究与分析团队(GReAT)的高级安全研究员Sherif Magdy评论说:“值得注意的是,攻击者在攻击的不同阶段所使用的技能组合以及失败后的策略都不尽相同。当攻击者意识到他们的后门已被检测到时,他们试图上传更新的版本来逃避检测,无意中增加了这些新样本在不久的将来被检测到的可能性。”
此外,卡巴斯基还发现了新的DLL搜索顺序劫持植入程序,由于缺乏所需的 DLL 的完整路径规范,这些植入程序是从合法但易受攻击的可执行文件中加载的。这一攻击链试图部署Crowdoor加载器,该加载器以ESET详细描述的SparrowDoor后门命名。当卡巴斯基的安全措施阻止了最初的Crowdoor加载器时,攻击者迅速转向了一个以前未报告的具有类似影响的变种。
卡巴斯基专家非常确信,这些攻击活动是由讲中文的威胁行为者Tropic Trooper发起的。他们的研究结果显示,与最近的 Tropic Trooper 活动中报告的技术有很大的重叠。GReAT分析的样本也显示出与之前与Tropic Trooper相关的样本有很强的关联性。
卡巴斯基发现,这种针对性攻击的目标为中东地区的一个政府实体。与此同时,这些样本的一个子集被发现用来攻击马来西亚的一个政府实体。这些事件与最近关于Tropic Trooper的报告中描述的典型目标和地理重点相符。
“Tropic Trooper 高级持续性威胁的攻击目标通常为政府部门、医疗行业、交通运输行业以及高科技行业。该威胁组织的战术、技术和程序(TTP)出现在中东关键政府机构,特别是那些参与人权研究的机构,这表明其行动的战略转变。这一洞察有助于威胁情报社区更好地理解该行为者的动机,”Sherif Magdy补充说。
要阅读有关Tropic Trooper活动的报告全文,请访问Securelist.
为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
·
为您的SOC团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
· 使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。
· 为了实现端点级别的检测、响应和及时的事件修复,请部署EDR解决方案,例如卡巴斯基NEXT。
· 除了采用基础端点保护之外,还应实施企业级安全解决方案,在早期阶段检测网络层面的高级威胁,例如卡巴斯基反针对性攻击平台。
· 由于许多针对性攻击都始于网络钓鱼或其他社交工程技术,建议引入安全意识培训并向团队教授实用技能,例如通过卡巴斯基自动化安全意识平台进行培训。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
