安全動態(tài)

全球頂級黑客組織巡禮——越南“海蓮花”的新秘密武器

來源:聚銘網絡    發(fā)布時間:2019-07-02    瀏覽次數:
 

信息來源:mottoin

根據BlackBerry Cylance本周一公布的研究結果,越南頂級黑客組織“海蓮花(OceanLotus)”使用的一套遠程訪問工具此前多年未被發(fā)現,這個名為Ratsnif的黑客工具允許修改網頁和SSL劫持。

頂級威脅組織——越南“海蓮花”

早在2017年11月,網絡威脅響應公司 Volexity 就發(fā)表了一份安全報告,宣稱越南黑客組織“海蓮花”已然成為當今威脅領域中“最先進”的網絡犯罪團伙之一,自2012年以來一直處于活躍狀態(tài),其主要針對越南境內多家行業(yè)機構、境外組織、政客與記者展開大規(guī)模網絡間諜活動,疑似越南政府背景。

據信,“海蓮花”是一個擁有先進技術的威脅團體,一直致力于為越南政府牟利的間諜活動,該組織也被稱為APT32、CobaltKitty、SeaLotus和APT-C-00。該組織近年來因使用精心設計的黑客工具破壞在越南擁有商業(yè)利益的外國公司,特別是在制造業(yè)和酒店業(yè),因此而臭名昭著,其常使用的惡意工具為Cobalt Strike。

據研究人員的說法,海蓮花在今年2月和3月表現活躍,其目標明確——攻擊跨國汽車公司以支持越南本土汽車業(yè)。

研究人員在分析了“海蓮花”以往攻擊活動后總結了該組織的主要攻擊特點:


  • 主要通過戰(zhàn)略性破壞網站進行大規(guī)模數字化分析與信息收集活動;
  • 瞄準與政府、軍事、人權、公民社會組織、媒體、國家石油勘探等有關的個人與組織發(fā)動攻擊;
  • 使用白名單定位目標用戶與組織;
  • 利用自定義 Google Apps 訪問受害者的 Gmail 帳戶,以竊取電子郵件和聯系人等敏感信息;
  • 戰(zhàn)略性和有針對性的修改受害網站視圖,以便安裝惡意軟件或竊取訪問者的電子郵件帳戶;
  • 大型DDoS攻擊的基礎架構由多家服務器托管商提供;
  • 偽造合法在線服務與組織的域名分發(fā)惡意軟件,如AddThis、Disqus、Akamai、百度、Cloudflare、Facebook、Google等;
  • 加密目標企業(yè)SSL/TLS證書;
  • 開發(fā)并使用多款后門軟件,如Cobalt Strike等。

非典型黑客工具——Ratsnif

此次被發(fā)現使用遠程訪問特洛伊木馬(RAT)——Ratsnif,對于研究“海蓮花”組織的安全研究人員來說似乎有點意外。

BlackBerry Cylance負責歐洲、中東和亞洲地區(qū)威脅研究的主管Tom Bonner表示:海蓮花使用的惡意軟件中通常不存在“粗糙的代碼、程序錯誤和調試消息”,而Ratsnif的開發(fā)人員使用了復雜且不必要的方式來為該惡意軟件提供配置文件路徑?!昂喍灾?,Ratsnif并不太符合OceanLotus惡意軟件中常見的高標準”。

Bonner進一步表示,這種惡意軟件與以前被發(fā)現的海蓮花樣本之間存在差異的一個可能原因是,在此活動中使用的工具并非是由海蓮花本身開發(fā)的,而是由其他組織開發(fā)的。正如惡意軟件專家此前預測的那樣,“海蓮花不斷使用不同的技術,甚至重新使用公開的漏洞利用代碼?!币虼?,最好的解釋是該組織可能無法訪問Ratsnif的源代碼進行特定的修改。

盡管Ratsnif的開發(fā)制造稍顯粗糙,由各種開源代碼拼湊而成,但仍能為黑客提供了強大的網絡攻擊能力,包括攔截網絡流量、欺騙域名系統數據、向HTTP注入惡意攻擊代碼。

目前尚不清楚海蓮花組織針對哪些實體部署了Ratsnif工具,以及是否成果入侵感染。

 
 

上一篇:《數據安全管理辦法》對我們來說意味著什么?

下一篇:2019年07月02日 聚銘安全速遞