全球顶级黑客组织巡礼——越南“海莲花”的新秘密武器


fc9f4fd5-db1c-4697-b883-75d29c7d4330

顶级威胁组织越南“海莲花”

早在2017年11月,网络威胁响应公司Volexity发布了一份安全报告,声称越南黑客组织“海联”自2012年以来已成为当今威胁领域“最先进”的网络犯罪集团之一。活跃,主要针对在针对越南政府背景的越南一些行业组织,海外组织,政治家和记者的大规模网络间谍活动中。

据信,“海联”是一个拥有先进技术的威胁集团,一直致力于为越南政府谋取间谍活动。该组织也被称为APT32,CobaltKitty,SeaLotus和APT-C-00。近年来,该组织因使用其精心设计的黑客工具摧毁在越南具有商业利益的外国公司而臭名昭着,特别是在制造业和酒店业。最常用的恶意工具是Cobalt Strike。

根据研究人员的说法,海联在今年2月和3月活跃,明确的目标是攻击跨国汽车公司以支持越南汽车业。

在分析了海炼之前的攻击之后,研究人员总结了该组织的主要攻击特征:

主要通过战略销毁网站进行大规模数字分析和信息收集活动;针对与政府,军队,人权,民间社会组织,媒体,国家石油勘探等有关的个人和组织;使用白名单定位用户和组织使用自定义Google Apps访问受害者的Gmail帐户,以窃取敏感信息,如电子邮件和联系人;策略性地,有针对性地修改受害者站点视图以安装恶意软件或窃取访问者的电子邮件帐户; DDoS攻击的基础设施由多个服务器托管提供商提供;伪造合法在线服务和组织的域名分发恶意软件,如AddThis,Disqus,Akamai,百度,Cloudflare,Facebook,谷歌等;加密目标企业SSL/TLS证书;开发并使用各种后门软件,如Cobalt Strike。

非典型黑客工具 Ratsnif

使用远程访问特洛伊木马(RAT) Ratsnif被发现对研究Sea Lotus组织的安全研究人员来说有点意外。

BlackBerry Cylance在欧洲,中东和亚洲的威胁研究负责人Tom Bonner表示:“粗略代码,程序错误和调试消息”在Lotus使用的恶意软件中并不常见,而且Ratsnif开发人员使用复杂且不必要的方法提供恶意软件的配置文件路径。 “简而言之,Ratsnif并不完全符合OceanLotus恶意软件中常见的高标准。”

Bonner进一步指出,这种恶意软件与之前发现的海莲样本之间存在差异的一个可能原因是,此活动中使用的工具不是由Sea Lotus本身开发的,而是由其他组织开发的。正如恶意软件专家预测的那样,“海联继续使用不同的技术,甚至重用公共漏洞利用代码。”因此,最好的解释是组织可能无法访问Ratsnif源代码以进行特定修改。

尽管Ratsnif的开发和制造略有粗糙,并且通过各种开源代码拼凑在一起,但它仍然为黑客提供强大的网络攻击,包括拦截网络流量,欺骗域名系统数据以及将恶意攻击代码注入HTTP。

目前还不清楚Lotus Lotus组织的哪些实体已部署了Ratsnif工具以及结果是否已侵入感染。