11月14日,研究人員發布了報告,介紹了海蓮花APT組織在過去的一段時間,內網滲透過程中所用的一些手法,并披露其在2021年所使用的三個0day漏洞和數個Nday漏洞,惡意代碼方面披露近期使用的一些免殺loader、釋放的一些功能模塊和基于不同語言的隧道轉發工具。漏洞一出現在某終端管理軟件中,服務端和客戶端均本地監聽了一個2開頭的高端口(2XXXX),與該端口通信數據走的是私有協議,漏洞出現在對發來的數據包進行判斷的邏輯。漏洞二出現在某終端管理系統服務端web管理頁面,由于登錄頁面需要令牌驗證,安全性很高,但海蓮花可能在之前拿到了整站源碼找到一個隱藏的登錄頁面(該頁面只需要輸入賬號密碼沒有多余的驗證),并且拿到了登錄的賬號密碼,成功登錄到web端管理后臺,并通過其中的一個帶有漏洞頁面,寫入惡意腳本,從而實現命令執行。
2020年至今,OceanLotus組織(“海蓮花”)利用國內外失陷IoT設備做流量中轉,研究人員于2021年找到證據確定Torii僵尸網絡背后攻擊者實際為OceanLotus組織,并且證實Torii僵尸網絡控制的主機被用于APT攻擊活動的流量隱藏&跳板,流量轉發的方式包括iptables轉發、tinyPortMapper等,失陷設備代理流量的木馬類型包括CobaltStrike、Buni、Torii、Remy等。Torii木馬家族,最早在2018年由Avast安全廠商披露,而后在2021年國內友商報告中提到Torii木馬和RotaJakiro(雙頭龍)存在相似的代碼設計思路,木馬最新版本和Avast安全廠商披露的版本存在通信流量加密算法上的細微變動。
“海蓮花”,又名APT32和OceanLotus,是疑似越南背景的黑客組織。研究人員跟進“海蓮花”組織,對其流量隱藏的手法深入調查分析后有以下發現:攻擊者利用1Day、NDay漏洞攻擊國內外的IoT設備,且使用Torii特馬長期控制,受害設備類型至少包括:三星、Vigor、Draytek路由器和物聯網攝像頭等;Torii木馬最早由國外Avast安全廠商在2018年所披露,這表明Torii僵尸網絡至少在2018年就開始部署,而后在2021年國內友商披露的RotaJakiro(雙頭龍)和Torii也存在相似的代碼設計思路;
近日,安恒信息分子實驗室捕獲到了“海蓮花(OceanLotus)”的攻擊活動樣本。當用戶打開WINWORD.EXE時,會加載惡意文件(MSVCR100.dll),該惡意文件會釋放3個文件,分別執行持久化、下載下一階段后門和信息收集并回傳,該樣本采用白+黑的方式實現防御規避,通過創建計劃任務實現持久化。此外,樣本會通過不透明謂詞、花指令等方案對抗靜態分析。
國外廠商發布了一篇關于mht格式文件(Web歸檔文件)通過攜帶的Office宏植入惡意軟件的分析報告,其中提及的樣本采用的攻擊手法與海蓮花組織存在相似之處,因此研究人員再現了利用Glitch平臺的攻擊樣本,并發布分析報告。由于攻擊流程中也存在著一些不同于海蓮花過往攻擊活動的特點,因此不排除其他攻擊團伙模仿海蓮花的可能性。 簡況此類攻擊樣本具有如下特點:宏代碼會根據系統版本釋放32位或64位惡意DLL,釋放惡意DLL時會插入一段隨機數據;宏代碼和惡意DLL均進行了代碼混淆;惡意DLL將收集的信息回傳給Glitch平臺托管的C2服務,然后下載經過7z壓縮的后續惡意軟件并執行。
OceanLotus(海蓮花)組織又名APT32和SeaLotus,是一個以政府和記者為目標的東南亞APT組織。近日,研究人員發現,OceanLotus組織正使用WEB存檔文件(.MHT 和 .MHTML)部署后門。 簡況攻擊鏈從一個 RAR 文件開始,該文件包含受感染的 Web 存檔文件,可能通過網絡釣魚活動傳播,其中的MHT文件非常大,介于 35 到 63 MB 之間,包含惡意Word 文檔以及其他文件。與此惡意活動相關的 RAR 文件如下: 研究人員在RAR 中發現了“ Zone.Identifier ”文件,這是一個常見的 ADS(備用數據流),用于存儲有關原始文件的元數據。為了繞過 Microsoft Office 保護,攻擊者已將文件元數據中的 ZoneID 屬性設置為“2”,使其看起來好像是從可靠的合法來源下載的。
海蓮花(OceanLotus)是一個東南亞背景的APT組織。該組織最早于2015年5月被披露并命名,其攻擊活動最早可追溯到2012 年4月,攻擊目標包括人權代表、異見人士、媒體、銀行、海事機構、海域建設部門、科研院所和航運企業,后擴展到幾乎所有重要的組織機構,受害區域涉及東亞、東南亞、歐洲等地區,持續活躍至今。研究人員發布了對海蓮花組織在過去一段時間內的攻擊手法的分析回顧。 簡況海蓮花組織在橫向移動過程中使用了多種腳本。爆破腳本功能較為簡單,僅針對445端口下的administrator賬戶進行爆破。經過數次版本迭代后,增加了對MSSQL、FTP、HTTP和對常見端口的掃描。海蓮花在橫向移動過程中會使用nbtscan腳本對內網進行掃描,利用PS腳本將編碼后的Nbtscan注入到Notepad.exe中。
2021年4月底,研究人員發現了一個至少潛伏3年的針對Linux x64系統的零檢測后門木馬RotaJakiro。在5月4日,有研究人員提出該后門疑似歸屬于OceanLotus(APT32)組織,可能是該組織開發的Linux版本后門木馬。RotaJakiro隱蔽性較強,對加密算法使用較多,包括:使用AES算法加密樣本內的資源信息;C2通信綜合使用了AES,XOR,ROTATE加密和ZLIB壓縮算法。其功能包括:上報設備信息、竊取敏感的信息、文件/Plugin管理(查詢,下載,刪除)、執行特定的Plugin。RotaJakiro支持以下4類功能:
海蓮花(APT32)組織在2018年2月至2020年11月之間通過間諜軟件針對越南人權捍衛者(HRD)發起攻擊。據 Amnesty 安全實驗室透露,海蓮花還向越南一個非盈利人權組織(NPO)發起過攻擊。該黑客組織使用的間諜軟件可以在受感染的系統上讀寫文檔,啟動惡意工具和程序從而監視受害者的活動。Amnesty的研究員認為,海洋蓮花最近的攻擊并不是突發的,而是過去15年來持續不斷的攻擊活動中的一部分,它也凸顯了越南激進分子在國內外捍衛人權所收到的壓力。下圖是海蓮花組織針對越南人權捍衛者的間諜活動時間線。
近日,Amnesty Tech披露了OceanLotus從2018年2月到2020年11月對人權捍衛者(human rights defenders)的網絡攻擊活動。據悉,OceanLotus是來自東南亞的APT組織,該組織從2014年開始一直保持著活躍狀態,主要的攻擊目標是私企和人權捍衛者。 AmnestyTech的安全研究員捕獲了海蓮花針對非營利性人權組織攻擊的最新樣本,包括Windows平臺和MacOs平臺。 其中,在Windows平臺上運行的是一款名為Kerdown的惡意軟件。Kerrdown是一個下載器,該惡意軟件可以在受害者主機上安裝其他惡意軟件并打開誘餌文檔以迷惑用戶。在此次攻擊事件中,Kerrdown下載了CobaltStrike的后門木馬以實現對受害者主機的完全控制,在過去三年中,海蓮花一直在使用CobaltStrike進行APT攻擊。 在MacOS平臺上運行的是一款名為Spyware的惡意軟件,該惡意軟件最早由趨勢科技在2018年4月披露,Spyware感染受害者主機后,攻擊者可自由的訪問受害者系統,竊取信息、下載文件、上傳其他攻擊組件或執行shell命令。