信息來源:mottoin
根據BlackBerry Cylance本周一公布的研究結果,越南頂級黑客組織“海蓮花(OceanLotus)”使用的一套遠程訪問工具此前多年未被發(fā)現,這個名為Ratsnif的黑客工具允許修改網頁和SSL劫持。
頂級威脅組織——越南“海蓮花”
早在2017年11月,網絡威脅響應公司 Volexity 就發(fā)表了一份安全報告,宣稱越南黑客組織“海蓮花”已然成為當今威脅領域中“最先進”的網絡犯罪團伙之一,自2012年以來一直處于活躍狀態(tài),其主要針對越南境內多家行業(yè)機構、境外組織、政客與記者展開大規(guī)模網絡間諜活動,疑似越南政府背景。
據信,“海蓮花”是一個擁有先進技術的威脅團體,一直致力于為越南政府牟利的間諜活動,該組織也被稱為APT32、CobaltKitty、SeaLotus和APT-C-00。該組織近年來因使用精心設計的黑客工具破壞在越南擁有商業(yè)利益的外國公司,特別是在制造業(yè)和酒店業(yè),因此而臭名昭著,其常使用的惡意工具為Cobalt Strike。
據研究人員的說法,海蓮花在今年2月和3月表現活躍,其目標明確——攻擊跨國汽車公司以支持越南本土汽車業(yè)。
研究人員在分析了“海蓮花”以往攻擊活動后總結了該組織的主要攻擊特點:
-
主要通過戰(zhàn)略性破壞網站進行大規(guī)模數字化分析與信息收集活動;
-
瞄準與政府、軍事、人權、公民社會組織、媒體、國家石油勘探等有關的個人與組織發(fā)動攻擊;
-
使用白名單定位目標用戶與組織;
-
利用自定義 Google Apps 訪問受害者的 Gmail 帳戶,以竊取電子郵件和聯系人等敏感信息;
-
戰(zhàn)略性和有針對性的修改受害網站視圖,以便安裝惡意軟件或竊取訪問者的電子郵件帳戶;
-
大型DDoS攻擊的基礎架構由多家服務器托管商提供;
-
偽造合法在線服務與組織的域名分發(fā)惡意軟件,如AddThis、Disqus、Akamai、百度、Cloudflare、Facebook、Google等;
-
加密目標企業(yè)SSL/TLS證書;
-
開發(fā)并使用多款后門軟件,如Cobalt Strike等。
非典型黑客工具——Ratsnif
此次被發(fā)現使用遠程訪問特洛伊木馬(RAT)——Ratsnif,對于研究“海蓮花”組織的安全研究人員來說似乎有點意外。
BlackBerry Cylance負責歐洲、中東和亞洲地區(qū)威脅研究的主管Tom Bonner表示:海蓮花使用的惡意軟件中通常不存在“粗糙的代碼、程序錯誤和調試消息”,而Ratsnif的開發(fā)人員使用了復雜且不必要的方式來為該惡意軟件提供配置文件路徑?!昂喍灾?,Ratsnif并不太符合OceanLotus惡意軟件中常見的高標準”。
Bonner進一步表示,這種惡意軟件與以前被發(fā)現的海蓮花樣本之間存在差異的一個可能原因是,在此活動中使用的工具并非是由海蓮花本身開發(fā)的,而是由其他組織開發(fā)的。正如惡意軟件專家此前預測的那樣,“海蓮花不斷使用不同的技術,甚至重新使用公開的漏洞利用代碼?!币虼?,最好的解釋是該組織可能無法訪問Ratsnif的源代碼進行特定的修改。
盡管Ratsnif的開發(fā)制造稍顯粗糙,由各種開源代碼拼湊而成,但仍能為黑客提供了強大的網絡攻擊能力,包括攔截網絡流量、欺騙域名系統數據、向HTTP注入惡意攻擊代碼。
目前尚不清楚海蓮花組織針對哪些實體部署了Ratsnif工具,以及是否成果入侵感染。