卡巴斯基：APT威脅行為者技術更新應提早做好準備

2023-08-072023-08-10 Chan Billy

卡巴斯基發表了2023年第二季度高級持續性威脅 (APT) 趨勢的最新報告，報告中，研究人員分析了最新的活動和現有活動的發展。該報告重點介紹了此期間的APT活動情況，包括更新了工具集，製作了最新的惡意軟體變種，而且威脅行為者還採用了新的技術。

一個重要的新發現是長期活動的”三角行動”攻擊活動被曝光，該活動涉及使用以前未知的IOS惡意軟體平臺。安全專家還注意到其他有趣的發展，並且認為所有人都應該瞭解這些發展。以下是該報告的主要亮點：

新的威脅行為者——Mysterious Elephant

卡巴斯基發現了一個屬於Elpahnts家族的最新威脅行為者，該威脅行為者在亞太地區活躍，被成為”Mysterious Elephant”。在他們最新的活動中，威脅行為者採用了新的後門家族，能夠在受害者的電腦上執行檔和命令，並從惡意伺服器接收檔或命令，以便在受感染的系統上執行。雖然卡巴斯基研究人員發現該威脅行為者與Confucius和SideWinder存在重疊之處，但Mysterious Elephant擁有一組獨特而獨特的TTP，使他們與其他威脅組織區分開來。

威脅行為者不斷升級

威脅行為者正在不斷改進他們的技術，Lazarus升級了其MATA框架，並引入了複雜的MATA惡意軟體家族MATAv5的新變種。BlueNoroff是Lazarus的一個專注于金融攻擊的子組織，該組織現在採用新的交付方法和程式設計語言，包括在最近的活動中使用木馬化的PDF閱讀器，部署macOS惡意軟體以及使用Rust程式設計語言。此外，ScarCruft APT組織也開發了新的感染方法，躲避網路標記 (MOTW) 安全機制。這些威脅行為者不斷變化的策略為網路安全專業人員帶來了新的挑戰。

網路間諜活動仍為APT攻擊主要議程

APT攻擊活動在地域上仍然很分散，威脅行為者的攻擊集中在歐洲、拉丁美洲、中東和亞洲各地。在堅實的地緣政治背景下，網路間諜活動仍然是這些活動的主要議程。

卡巴斯基亞太區董事總經理Adrian Hia表示：”卡巴斯基一直在監控該地區所有感染移動設備的活躍APT參與者，並正在慢慢瞄準企業和基礎設施。我們的研究人員專注于APT活動，以發現最複雜的網路攻擊。通過公佈我們的調查結果，我們希望能夠説明組織瞭解最新活動，並在我們建立一個更安全的世界的努力中保持安全。

“雖然有些威脅行為者堅持使用諸如社交工程等熟悉的攻擊策略，其他威脅行為者已經不斷演變，更新了他們所使用的工具集，並擴大了活動範圍。另外，還有一些新的高級威脅行為者不斷出現，例如實施”三角行動”攻擊的威脅行為者。該威脅行為者使用之前未知的iOS惡意軟體平臺，該平臺通過零點擊iMessage漏洞進行分發。對全球企業來說，保持警惕，瞭解最新的威脅情報以及合適的防禦工具非常重要，這樣他們就可以保護自己免遭已有和最新威脅的危害。我們的季度總結製造強調APT組織最重要的發展情況，説明防禦者應對和處理相關風險，”卡巴斯基全球研究與分析團隊 (GReAT) 首席安全研究員David Emm評論說。

要閱讀2023年第二季度APT趨勢報告全文，請訪問Securelist.