一份新的報告稱，最近一系列的針對電(diàn)子遊戲公司的勒索軟件攻擊與臭名昭著的APT27威脅組織有(yǒu)密切的關系，這表明(míng)高(gāo)級持續性威脅（APT）正在改變過去的間(jiān)諜集中戰術(shù)，轉而采用勒索軟件進行(xíng)攻擊。

研究人(rén)員注意到此次攻擊與APT27的 "密切聯系"，它們作(zuò)為(wèi)供應鏈攻擊的一部分，它們被引入了去年影(yǐng)響全球主要遊戲公司的勒索軟件攻擊事件的名單中。這些(xiē)事件的細節（包括具體(tǐ)的公司名稱和(hé)時(shí)間(jiān)）很(hěn)少(shǎo)。然而，雖然研究人(rén)員告訴Threatpost，他們無法說出具體(tǐ)的被攻擊的遊戲公司的名字，但(dàn)他們表示已經有(yǒu)五家(jiā)公司受到了攻擊的影(yǐng)響。更重要的是，其中兩家(jiā)受影(yǐng)響的公司是 "世界上(shàng)最大(dà)的公司之一"。

研究人(rén)員表示，APT27（又稱Bronze Union、LuckyMouse和(hé)Emissary Panda），據說是在中國境內(nèi)運營的一個(gè)威脅組織，自2013年以來(lái)就一直存在。 該組織向來(lái)是利用開(kāi)源的工具來(lái)接入互聯網，其攻擊目的是為(wèi)了收集政治和(hé)軍事情報。而且，它此前一直在做(zuò)網絡間(jiān)諜和(hé)數(shù)據竊取方面的攻擊，而不是僅僅為(wèi)了金錢(qián)利益而發動攻擊。

Profero和(hé)Security Joes的研究人(rén)員在周一的聯合分析中指出："此前，APT27并不是為(wèi)了經濟利益而發動攻擊，因此此次采用勒索軟件的攻擊策略是很(hěn)不同尋常的。然而此次事件發生(shēng)時(shí)，正值COVID-19在中國國內(nèi)流行(xíng)，因此轉為(wèi)為(wèi)了經濟利益而發動攻擊也就不足為(wèi)奇了。"

供應鏈攻擊

研究人(rén)員還(hái)表示，此次攻擊是通(tōng)過第三方服務商來(lái)進行(xíng)攻擊的，而且該服務商此前曾被另一家(jiā)第三方服務商感染。

在對該安全事件進行(xíng)更深一步的調查後，研究人(rén)員發現惡意軟件樣本與2020年初的一個(gè)名為(wèi)DRBControl的攻擊活動有(yǒu)關。趨勢科技(jì)的研究人(rén)員此前發現了這個(gè)攻擊活動，指出它與APT27和(hé)Winnti供應鏈攻擊團夥有(yǒu)密切聯系。DRBControl後門(mén)攻擊的特點是，它通(tōng)過滲透攻擊非法的賭博公司，并使用Dropbox對其進行(xíng)指揮控制(zhì)（C2）通(tōng)信。

Profero和(hé)Security Joes的研究人(rén)員在最近的攻擊活動中發現了和(hé)DRBControl "非常相似的樣本"（他們稱之為(wèi) "Clambling "樣本，不過這個(gè)變種并沒有(yǒu)Dropbox的功能。）

研究人(rén)員發現，DRBControl以及PlugX樣本 ，都會(huì)使用Google Updater可(kě)執行(xíng)文件來(lái)使自己加載到內(nèi)存中，然而該可(kě)執行(xíng)文件很(hěn)容易受到DLL側載攻擊（側載是指使用惡意DLL欺騙合法DLL，然後依靠合法Windows可(kě)執行(xíng)文件執行(xíng)惡意代碼的過程）。研究人(rén)員表示，這兩個(gè)樣本都使用了經過簽名的Google Updater，兩個(gè)DLL都被标記為(wèi)goopdate.dll。

研究人(rén)員說："這兩個(gè)樣本的每一個(gè)樣本都有(yǒu)一個(gè)合法的可(kě)執行(xíng)文件，一個(gè)惡意DLL和(hé)一個(gè)由shellcode組成的二進制(zhì)文件，它們負責從自身提取有(yǒu)效載荷并在內(nèi)存中進行(xíng)運行(xíng)"。

網絡攻擊者會(huì)通(tōng)過對第三方公司進行(xíng)滲透并獲得(de)了該公司系統的一個(gè)傀儡機後，為(wèi)了協助橫向移動攻擊，會(huì)再部署一個(gè)ASPXSpy webshell。

研究人(rén)員表示，此次事件中另一個(gè)特點是攻擊的過程中使用了BitLocker對核心服務器(qì)進行(xíng)加密，BitLocker是Windows中內(nèi)置的一個(gè)驅動器(qì)加密工具。

他們說："這個(gè)是很(hěn)有(yǒu)趣的，因為(wèi)在許多(duō)情況下，攻擊者會(huì)将勒索軟件投放到受害者的機器(qì)上(shàng)，而不是直接使用本地工具進行(xíng)攻擊"。

APT27的線索

研究人(rén)員觀察到此次攻擊與APT27在戰術(shù)、技(jì)術(shù)和(hé)程序（TTPs）方面都存在着"極強的聯系"。

研究人(rén)員舉例說，他們發現DRBControl樣本和(hé)之前已确認的APT27攻擊程序之間(jiān)有(yǒu)很(hěn)多(duō)相似之處。此外，活動中使用的ASPXSpy webshell的修改版本此前也曾出現在APT27的網絡攻擊中。而在發現後門(mén)文件的同時(shí)，研究人(rén)員還(hái)發現了一個(gè)利用CVE-2017-0213升級權限進行(xíng)攻擊的二進制(zhì)文件，CVE-2017-0213是APT27之前使用過的微軟Windows服務器(qì)的一個(gè)漏洞。

研究人(rén)員表示："APT27過去曾利用這個(gè)漏洞來(lái)進行(xíng)升級權限。”

Profero首席執行(xíng)官Omri Segev Moyal告訴Threatpost，除了與之前APT27使用的工具庫相匹配之外，研究人(rén)員還(hái)注意到了與之前APT27發動攻擊的代碼的相似性很(hěn)高(gāo)；而且，這次攻擊所使用的域和(hé)之前其他的APT27相關的攻擊有(yǒu)很(hěn)高(gāo)的匹配度。

研究人(rén)員還(hái)指出，此次攻擊的各種流程與之前的APT27攻擊有(yǒu)相似之處，包括用來(lái)執行(xíng)不同函數(shù)的方法所使用的參數(shù)數(shù)量，以及使用DLL側載攻擊方法，主要的有(yǒu)效載荷存儲在一個(gè)單獨的文件中等等特征。

轉自嘶吼網/~陽光~

本文翻譯自：https://threatpost.com/ransomware-major-gaming-companies-apt27/162735/