Quasar RAT:多个国家支持的网络威胁行为者常用的恶意软件
TA410 这一网络间谍威胁组织以攻击美国公用事业领域的机构以及中东和非洲的外交组织而闻名。实际上,TA410 是一个“伞型组织”,由三个使用不同工具集的威胁行为者组成。
TA410 组织与 APT10(又名 Stone Panda 或 TA429)存在松散关联,APT10 主要使用鱼叉式网络钓鱼和利用面向互联网的易受攻击应用(如 Microsoft Exchange、SQL Server 和 SharePoint)来获得初始访问权限。
Proofpoint 于 2019 年 8 月首次观察到 TA410 威胁行为者,当时该间谍组织部署了包含名为 LookBack 的模块化恶意软件的钓鱼活动。该恶意软件活动包含携带宏的文档,用于配合美国各地的公用事业提供商。
TA410 是一个伞型组织,由三个使用不同工具集的威胁行为者组成。ESET 的研究人员发现,TA410 实际上是三个子组的混合体,分别名为 FlowingFrog、LookingFrog 和 JollyFrog。这三个子组拥有不同的工具集和攻击目标,但使用的战术、技术和过程(TTPs)非常相似。据称,这些组织负责分配情报需求,并由执行鱼叉式网络钓鱼攻击活动的访问行为体以及一个部署网络基础设施的组共同运作。
研究人员称,FlowingFrog 子组有其明确的网络攻击模式,并针对特定目标(即大学、驻华外国外交使团和一家印度矿业公司)部署了钓鱼活动。该组还使用 Royal Road(一种恶意文档生成器,用于构建带有漏洞的 RTF 文档)。
第二个子组 LookingFrog 通常针对非公开使团、慈善组织和政府实体,使用两种恶意软件家族:X4 和 LookBack。X4 是一个自定义后门,在部署 LookBack 之前作为第一阶段使用。LookBack 是一个远程访问木马(RAT),包含众多组件,如一个 C2 代理工具、一个恶意软件加载器以及用于生成 C2 通道的通信模块。
TA410 父级间谍组织的最后一个行为体是 JollyFrog,其目标为教育、宗教和军事领域实体。该组完全使用来自已知家族的通用、现成恶意软件,名为 Quasar RAT 和 Korplug(也称为 PlugX)。
Quasar RAT 远程访问木马由 GitHub 用户 MaxXor 开发,原本用于合法目的。该 RAT 于 2014 年 7 月首次发布,名为“xRAT 2.0”,后于 2015 年 8 月更名为“Quasar”。该远程访问木马通过网络钓鱼邮件中的恶意附件传播,使用 C# 编程语言编写。Quasar RAT 的功能包括:截取屏幕截图、录制摄像头、反向代理、编辑注册表、监视用户行为、键盘记录和窃取密码。
Quasar RAT 此前已被多个网络间谍组织使用,包括 APT33、APT10、Dropping Elephant、Stone Panda 和 Gorgon Group。
2017 年,DustSky 运动利用 Quasar RAT 攻击了中东地区的政府机构。2018 年 1 月,黑客利用 Quasar RAT 恶意软件攻击了乌克兰国防部。
2017 年 4 月,来自英国普华永道(PwC)和 BAEsystems 的专家发现了一场广泛的黑客攻击活动,即“云跳跃者行动”(Operation Cloud Hopper),目标是全球多个地区的托管服务提供商(MSPs)。专业人员收集的证据表明 APT10 组织参与了该行动。
2020 年 11 月,分析师披露了一场由基于中国的 APT10 组织发起的大规模攻击活动,该活动利用 ZeroLogon 漏洞攻击多家企业集团。黑客利用安全公司台湾网站管理中的一个漏洞,植入 Web shell 以在目标系统上部署 Quasar RAT。
2016 年,由 Phronesis(由 Brigadier Prabhakar Bryan Miranda 创立)领导的 APT Dropping Elephant 因使用攻击工具针对多个高知名度行为体而受到关注。受害者均与中国的外来关联有关。2017 年 12 月,TrendMicro 披露称,间谍组织 Dropping Elephant 或 Patchwork 在其部分通过 Drive 投递的定向攻击中使用 Quasar RAT 作为载荷进行钓鱼攻击。
最后可以说,Phronesis 是印度新兴的网络进攻性威胁行为体之一。它通过其国家支持的高级持续性威胁行为体(如 Dropping Elephant、Patchwork、Confuscious)发动了大规模网络攻击。 CSD0tFqvECLokhw9aBeRqiodD6zRRC6n7W9slckgNLb1Fsb8Fwz9iRrS5AehxnCVAlc+8u7Ge/p4uJQs1yHURiMiOqFvzjXipwm7CWibVlJ6Pfax+3IVCvhLgC54dAEfUtd6Qr68adp3YdXTeLAGcGMO82tfTyeJ/xp0Fbi3XdI=
