我国遭到“海莲花”新手法攻击

发布者:路旭发布时间:2019-05-15浏览次数:10

概要

“海莲花”,又名APT32和OceanLotus,是越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和 个人。

近日,微步在线狩猎系统捕获到一个APT32最新针对我国进行攻击的诱饵文件,分析之后发现:

诱饵文件名为“2019年第一季度工作方向附表.rar”,该诱饵在攻击过程中使用了两层白利用进行DLL劫持,第一层为Word白利用,第二层为360安全浏览器白利用。两层白利用是APT32新的攻击手法,截至报告时间,该诱饵尚无杀软检出。

此次攻击最终投递的木马为Cobalt Strike Beacon后门,具备进程注入、文件创建、服务创建、文件释放等功能,C2通信使用Safebrowsing可延展C2配置。

微步在线通过对相关样本、IP和域名的溯源分析,共提取5条相关IOC,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API等均已支持此次攻击事件和团伙的检测。

详情

自活跃以来,APT32一直持续针对我国进行网络攻击。在攻击过程中,APT32一直在尝试不同方法以 实现在目标系统上执行恶意代码和绕过安全检测,其中经常使用的包含白利用和C2流量伪装等。近日,微步在线狩猎系统捕获了一个APT32针对我国进行攻击的诱饵,该诱饵使用了两层白利用进行DLL劫持,第一层为Word白利用,第二层为360安全浏览器白利用,最终投递的木马为Cobalt Strike Beacon后门,C2通信使用Safebrowsing可延展C2配置。

诱饵“2019年第一季度工作方向附表.rar”整体攻击流程如下:

image.png


(转自freebuf)