apt32是fireeye安全專家發現的一家新apt(進階持續性威脅)組織。這個組織的目的是越南在全球的利益。apt32組織,又稱為海蓮(oceanlotus)組織,最遲自2013年以來一直處于活躍狀态。據安全專家稱,這是一家受政府資助的黑客組織。這些黑客瞄準了多個行業的組織,還針對外國政府、異議人士和記者。
2014年以來,fireeye專家已注意到apt32正瞄準對越南制造業、消費品行業和酒店業感興趣的外國公司。apt32也瞄準了外圍網絡安全和技術基建公司,以及可能與外國投資者有關系的安全公司。fireeye釋出的分析文章稱:
“apt32利用一套獨特的全功能惡意軟體,結合市場上可買到的工具,實施符合越南國家利益的針對性行動。”
fireeye強調,雖然這個黑客組織收集的資訊對其他國家毫無用處,但目前還不可能準确地将該組織與越南政府關聯起來。據fireeye專家稱,這些網絡攻擊看起來是在評估被攻擊者是否遵守越南法規,但越南政府否認有所參與。越南外交部發言人le thi thu hang說:
“越南政府不允許任何形式、針對任何組織或個人的網絡攻擊。任何網絡攻擊或網絡安全威脅都必須被譴責并依法嚴懲。”
在最近一波攻擊中,apt32的黑客使用了包含武器化附件的釣魚郵件。有趣的是,該附件不是一個word檔案,而是一個activemime檔案。這個activemime檔案包含了一個包含惡意宏的ole檔案。
這場攻擊的另一個創新元素是,攻擊者使用合法的雲基郵件分析來追蹤釣魚郵件的效果。釣魚附件包含html圖像标簽。分析文章說:
“打開具有此功能的文檔時,即使宏功能已被禁用,微軟word程式仍會嘗試下載下傳外部圖像。在分析過的所有釣魚誘餌中,這些外部圖像都不存在。mandiant顧問懷疑,apt32在監控web日志,以追蹤有哪些公共ip位址請求了這些圖像。結合電子郵件追蹤軟體,apt32能夠密切追蹤釣魚傳播程度、成功率,并且在進一步分析受害者的同時監控安全公司的興趣。”
内嵌的惡意宏建立兩個計劃任務,以保證黑客所用後門的持久存在。
第一個計劃任務執行squiblydoo應用,以允許從apt32的基礎架構中下載下傳後門。第二個計劃任務導緻下載下傳第二個後門。這個後門被當做一個多階段powershell腳本,被配置來與log.panggin[.]org、share.codehao[.]net和yii.yiihao126[.]net域進行通信。
apt32攻擊者定期清除標明的日志條目,以隐藏他們的行動。他們還利用daniel blhannon的invoke-obfuscation架構,嚴重模糊其基于powershell的工具和shellcode加載器。
apt32的武器庫包含一整套定制後門,比如windshield、komprogo、soundbite、phoreal和beacon。fireeye警告說,越來越多的民族國家使用網絡行動來收集情報。fireeye總結說:
“據fireeye評估,apt32是一個與越南政府利益一緻的網絡間諜組織。随着越來越多國家開始利用廉價而有效的網絡活動,需要喚起對這些威脅的公衆意識,并重建關于新興的、超越公共部門和情報目的的民族國家入侵。”
原文釋出時間:2017年5月18日
本文由:securityaffairs釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/fireeye-found-apt32
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站