歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

“海蓮花”(OceanLotus)2019年針對中國攻擊活動匯總

來源:本站整理 作者:佚名 時間:2019-12-05 TAG: 我要投稿

一、 概述
"海蓮花"(又名APT32、OceanLotus),被認為是來自越南的APT攻擊組織,自2012年活躍以來,一直針對中國大陸的敏感目標進行攻擊活動,是近幾年來針對中國大陸進行攻擊活動最活躍的APT攻擊組織,甚至沒有之一。
騰訊安全御見威脅情報中心曾在2019年上半年發布過海蓮花組織2019年第一季度攻擊活動報告,在報告發布之后一直到現在,我們監測到該組織針對中國大陸的攻擊持續活躍。該組織的攻擊目標眾多且廣泛,包括中國大陸的政府部門、海事機構、外交機構、大型國企、科研機構以及部分重要的私營企業等。并且我們監測到,有大量的國內目標被該組織攻擊而整個內網都淪陷,且有大量的機密資料、企業服務器配置信息等被打包竊取。
此外我們發現,該組織攻擊人員非常熟悉我國,對我國的時事、新聞熱點、政府結構等都非常熟悉,如剛出個稅改革時候,就立馬使用個稅改革方案做為攻擊誘餌主題。此外釣魚主題還包括績效、薪酬、工作報告、總結報告等。
而從攻擊的手法上看,相對第一季度變化不是太大,但有一些小的改進,包括攻擊誘餌的種類、payload加載、繞過安全檢測等方面。而從整體攻擊方式來看,依然采用電子郵件投遞誘餌的方式,一旦獲得一臺機器的控制權后,立即對整個內網進行掃描和平移滲透攻擊等。這也進一步說明了APT攻擊活動不會因為被曝光而停止或者有所減弱,只要攻擊目標存在價值,攻擊會越來越猛烈,對抗也會越來越激烈。
有關海蓮花APT組織2019年對中國大陸攻擊情況的完整技術報告,請參考:
https://pc1.gtimg.com/softmgr/files/apt32_report_2019.pdf
二、 攻擊特點
2.1 釣魚郵件的迷惑性
海蓮花組織擅長使用魚叉攻擊,通過大量精準發送釣魚郵件來投遞惡意附件的方式進行攻擊。整個2019年,持續對多個目標不斷的進行攻擊,如下列釣魚郵件:


從郵件主題來看,大部分郵件主題都非常本土化,以及貼近時事熱點。郵件主題包括:
《定-關于報送2019年度經營業績考核目標建議材料的報告》、《組織部干部四處最新通知更新》、《關于2019下半年增加工資實施方案的請示(待審)》、《2019年工作報告提綱2(第四稿)》、《2019年5月標準干部培訓課程通知》等等。
我們在2019年第一季度的報告中還提到海蓮花組織采用敏感內容主題釣魚郵件,不過在之后的攻擊中并未再次發現使用該類型誘餌:

此外,投遞釣魚郵件的賬號均為網易郵箱,包括126郵箱和163郵箱,賬號樣式為:名字拼音+數字@163(126).com,如:
Sun**@126.com、yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等。
2.2 誘餌類型的多樣化
海蓮花組織所使用的誘餌類型眾多,能想到的誘餌類型海蓮花幾乎都用過。除了我們在第一季度報告里提到的白加黑、lnk、doc文檔、WinRAR ACE漏洞(CVE-2018-20250)的壓縮包等類型外,之后的攻擊中還新增了偽裝為word圖標的可執行文件、chm文件等。
可執行文件誘餌:

Chm誘餌:

白加黑誘餌:


帶有宏的惡意office文檔:

惡意lnk:

帶有WinRAR ACE(CVE-2018-20250)漏洞的壓縮包:


2.3 載荷執行方式多變
由于誘餌的多樣化,載荷執行的方式也多變。此外第二階段的加載方式同樣方式眾多。
1、 直接執行可執行文件

如該誘餌,偽裝為word圖標的可執行文件,并在文件描述里修改成了Microsoft DOCX,用于迷糊被釣魚者。執行惡意文件后,會釋放誘餌文檔2019年5月標準干部培訓課程通知.docx,并且打開,讓受害者以為打開的就是word文檔。而打開后的文檔為模糊處理的文檔,誘使受害者啟用文檔中的宏代碼以查看文檔內容,實際上啟用宏之后,仍然看不到正常的內容:

[1] [2] [3] [4] [5]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 哪个网站有五分赛车 广东十一选五技巧有哪些 内蒙古11选五前三直最大遗漏 马如龙六肖中特期期准 江西多乐彩开奖号码 北京快3走势图 吉华股票 今晚开什么特马资料26 体育福建31选7开奖 甘肃快3开奖走势图今天