知名网络安全公司FireEye的新研究表明,疑似与越南政府有关的黑客组织“APT32”或“OceanLotus”自2014年以来一直在活跃执行网络间谍任务,其目标包括有价值的公司、外国政府、持不同政见者和记者。
FireEye分析师尼克·卡尔称,据他们所知,APT32针对政府和普通民众展开攻击,但APT32攻击全球企业的速度在他们的意料之外。他表示,APT32的能力也让他们感到惊讶。
APT32主要针对东南亚对企业
FireEye能证实,至少有12家私有部门的组织机构曾遭遇APT32攻击,其使用的手段是发送精心设计的网络钓鱼电子邮件,其中包含恶意Word附件。最初,被APT32攻击的大多数企业位于东南亚。
发展中国家正不断投资大量资源培养黑客能力,以有效收集经济和政治目标的情报。APT32能通过一套独特的黑客工具,成功入侵德国、美国和菲律宾的组织机构。
FireEye认为,APT32黑客组织可能与越南政府有关,因为黑客倾向于针对特定企业、组织机构和个人,而这些目标与越南地缘政治利益相关。
过去几年,APT32攻击了网络安全、制造、媒体、银行、酒店、技术基础设施和咨询相关的公司,窃取的资料包括商业机密、机密谈话日志和进度计划。
APT32的活动提醒人们,经济间谍仍是跨国公司面临的重要威胁,千万别抱着侥幸心里,世界上根本不存在数据安全港。
APT32黑客组织有多专业?
作为美国网络安全巨头,FireEye能收集专有互联网传感器网络上留下的取证证据,以及客户端系统上存储的信息,从而获取APT32以往行动相关的数据。
卡尔表示,尽管通过海关将网络监控技术输入到美国艰难重重,但FireEye能使用大量其它灵活的技术,例如虚拟网络流量、日志聚合器和Kicker(主机调查平台(HIP)),HIP被用于实时查看攻击者的活动。
越南政府官员回应称FireEye的报告结果“毫无根据”。
但FireEye的情报分析师惊讶地发现,APT32在所有入侵阶段均采用了一些先进的技术,其攻击高价值组织机构时还能隐藏自己。APT32这支精英黑客组织利用公开披露的软件漏洞专门针对使用热门操作系统的旧版本设备。他们通常使用网络钓鱼电子邮件实施隐秘网络间谍活动,以动态将恶意软件注入主机,大多数情况下,病毒仅隐藏在主机内存,之后定期更新。
此外,APT32至少在一起案例中使用开源工具摧毁受害者设备上留下的取证证据。
FireEye上周日发布博文指出,在受害者环境中建立立足点之后,APT32并未停止行动。经Mandiant公司几名调查人员揭露,APT32在获取访问权后,定期清除选中的事件日志条目,并借助Daniel Bohannon的Invoke-Obfuscation框架混淆基于PowerShell 的工具与壳代码(Shellcode)加载器。
本文转自d1net(转载)