卡巴斯基实验室：2020Q2 APT趋势报告

一、概述

卡巴斯基全球研究与分析团队（GReAT）三年多以来一直在发布高级持续性威胁（APT）活动的季度报告。这些报告基于我们的威胁情报研究，提供了我们在私有APT报告中已经发布和详细讨论的部分内容摘要，以突出展示我们认为大家应该关注的重大事件和发现。

这是我们系列报告的最新一期，重点关注我们在2020年第二季度期间观察到的活动。

二、显著发现

5月11日，总部位于英国的超级计算中心ARCHER宣布将在调查安全事件期间关闭对互联网的访问。其网站表明，“ARCHER设施是基于提供核心计算资源的Cray XC30超级计算机，共有4920个节点”。与此同时，总部位于德国的bwHPC也宣布发生一起安全事件，并决定限制对其资源的访问。瑞士国家超级计算机中心在参与一项新冠病毒小膜蛋白研究项目的过程中，宣布他们以及其他欧洲高性能计算机设备遭受到攻击，并且已经暂时关闭。根据其报告，EGI计算机安全和应急响应团队（EGI-CSIRT）在5月15日发布了一条警报，该警报涉及两起事件，根据报告，这些事件可能相关，也可能彼此无关。这两起事件都是攻击者利用学术数据中心进行CPU挖矿活动。在警报中，包括大量威胁指标，这些威胁指标可以作为对其他开源情报（OSINT）的补充。尽管我们无法确定ARCHER和EGI-CSIRT所描述的事件是否彼此相关，但我们存在这样的怀疑。一些媒体推测，所有这些攻击活动可能都与在超级计算中心开展的COVID-19研究有关。

值得关注的是，在2020年7月16日，NCSC发布了一份通报，描述了针对COVID-19疫苗研究机构开展的恶意活动。在恶意活动中，攻击者使用的恶意软件属于一个名为WellMess的家族，LAC Co在2018年曾首次对该家族恶意软件进行过分析。直到最近，该恶意软件才被证明与任何APT活动之间都没有关联。令人惊讶地是，NCSC将恶意活动归因于APT-29威胁参与者，但没有提供任何公开的证据。

根据我们的研究，我们可以确认WellMess恶意软件的活动似乎呈现一个周期的趋势，自发现以来，大约每三个月就在恶意活动中使用一次。我们观察到该恶意软件在2019年秋季呈现活动的高峰，随后在2020年2月增加了C2的数量。我们还观察到一些高价值目标，包括中东、北非和欧盟的电信公司、政府和承包商。然而，在我们看来，目前还无法确定有攻击者针对卫生机构的目标发动专门的攻击。

有关WellMess的更多详细信息，大家可以在这里查看GReAT此前的演示：https://youtu.be/xeTYLRCwnFo 。

三、使用俄语的恶意活动

今年5月，Leonardo的研究人员发表了一份有关“Penquin_x64”的报告，Penquin_x64是Turla的Penquin GNU/Linux后门程序的变种，此前没有被发现过。卡巴斯基公开记录了Penquin恶意软件家族，奇热并追溯到其在1990年代在针对Unix的Moonlight Maze恶意活动中使用的历史版本。我们通过使用网络探针来大规模检测Penquin_x64的感染主机，从而跟踪这项最新研究，最终发现当前位于欧洲和美国的数十个互联网托管服务器仍然受到威胁。我们认为，在公开披露Turla的GNU/Linux工具之后，Turla的威胁参与者可能会改进Penquin，以规避目前研究人员所掌握的威胁情报。

在6月，我们发现了两个不同的域名，分别是“emro-who[.]in”和“emro-who[.]org”，仿冒了世界卫生组织（WHO）东地中海区域办事处（EMRO）的域名。这些域名在6月21日通过Njalla.no域名服务商注册，似乎被用作鱼叉式网络钓鱼活动的发件人域名。这种类型的拼写错误形式让我们联想到Sofacy恶意活动针对其他国际组织的恶意活动。此外，我们已经看到有攻击者使用Njalla.no注册SPLM和XTUNNEL C2服务器，此前Sofacy曾将这种自治系统用于SPLM C2。

Hades是一个难以捉摸、经常变化的威胁参与者，通常开展定制化黑客攻击和特殊访问操作活动，例如他们此前曾参与OlympicDestroyer、ExPetr（又称为NotPetya）和Badrabbit攻击活动。5月28日，美国