2024 年第二季度 APT 趋势报告

主要观点总结

本文介绍了卡巴斯基全球研究与分析团队在2024年第二季度关于高级持续性威胁（APT）的季度更新报告。报告涵盖了各种APT活动的主要趋势和发现，包括XZ压缩程序后门、PcExter工具的进化、QSC框架和GoClient后门的部署、GOFFEE和SalmonQT的新活动、Gaza Cybergang组织的调整、神秘大象威胁者的新恶意软件家族、黑客行动主义组织的活动、模块化恶意软件框架Aniseed Vodka的发现、DinodasRAT的Linux变体的发展，以及CloudSorcerer和Telemos后门的新活动。报告强调了社会工程学的使用，并指出大多数APT活动的目的是进行网络间谍活动。最后强调，报告是基于公开信息和广泛报道的信息，使用某些语言并不一定表示特定的地理关系。

关键观点总结

关键观点1: XZ压缩程序后门成为本季度重点，通过社会工程学获取对开发环境的持续访问权限。

攻击者利用XZ Utils的漏洞（CVE-2024-3094）在Linux发行版中植入后门，最高严重性评分为10。后门具有远程代码执行功能，攻击者可使用自定义隐写技术隐藏解密公钥，并挂钩与RSA密钥操作相关的函数。

关键观点2: PcExter工具的进化及QSC框架和GoClient后门的部署受到关注。

PcExter 2.0能够收集数据并使用改进的文件搜索机制。QSC框架是一个在调查针对南亚电信行业攻击时发现的框架，攻击者还部署了名为GoClient的新后门。

关键观点3: GOFFEE和神秘大象威胁者的活动不断演变。

GOFFEE停止使用某些模块并继续利用之前基于HTA的感染链进行入侵。神秘大象威胁者使用新恶意软件家族和新基础设施进行攻击。

关键观点4: Gaza Cybergang组织调整其攻击策略。

该组织不再使用特定的工具进行侧载，而是使用更通用的诱饵主题。它仍展示特定的TTP，每次活动只针对少数目标。

关键观点5: 新的远程访问工具（RAT）SalmonQT被发现。

该样本使用GitHub的REST API接受指令和上传数据。虽然GitHub存储库的路径看似已被删除，但实际上是被设置为私有。

关键观点6: 黑客行动主义组织的活动引人注目。

例如，国土正义组织针对阿尔巴尼亚目标进行网络攻击，旨在传达反MEK的政治信息并扩大其在民众中的支持。

关键观点7: 模块化恶意软件框架Aniseed Vodka被新发现。

该框架具有高度的可配置性，允许操作员指定插件的操作参数并按特定间隔安排插件任务。

关键观点8: APT活动集中在全球各地，针对多个领域。

大多数APT活动的目的是进行网络间谍活动，尽管有些是为了经济利益。重点亮点是Linux发行版中的后门和多种工具的使用。