APT32是FireEye安全专家发现的一家新APT(高级持续性威胁)组织。这个组织的目的是越南在全球的利益。APT32组织,又称为海莲(OceanLotus)组织,最迟自2013年以来一直处于活跃状态。据安全专家称,这是一家受政府资助的黑客组织。这些黑客瞄准了多个行业的组织,还针对外国政府、异议人士和记者。
FireEye认为APT32与越南国家利益相符 但越南否认
2014年以来,FireEye专家已注意到APT32正瞄准对越南制造业、消费品行业和酒店业感兴趣的外国公司。APT32也瞄准了外围网络安全和技术基建公司,以及可能与外国投资者有关系的安全公司。FireEye发布的分析文章称:
“APT32利用一套独特的全功能恶意软件,结合市场上可买到的工具,实施符合越南国家利益的针对性行动。”
FireEye强调,虽然这个黑客组织收集的信息对其他国家毫无用处,但目前还不可能准确地将该组织与越南政府关联起来。据FireEye专家称,这些网络攻击看起来是在评估被攻击者是否遵守越南法规,但越南政府否认有所参与。越南外交部发言人Le Thi Thu Hang说:
“越南政府不允许任何形式、针对任何组织或个人的网络攻击。任何网络攻击或网络安全威胁都必须被谴责并依法严惩。”
APT32使用了多种攻击手段
在最近一波攻击中,APT32的黑客使用了包含武器化附件的钓鱼邮件。有趣的是,该附件不是一个Word文件,而是一个ActiveMime文件。这个ActiveMime文件包含了一个包含恶意宏的OLE文件。
这场攻击的另一个创新元素是,攻击者使用合法的云基邮件分析来追踪钓鱼邮件的效果。钓鱼附件包含HTML图像标签。分析文章说:
“打开具有此功能的文档时,即使宏功能已被禁用,微软Word程序仍会尝试下载外部图像。在分析过的所有钓鱼诱饵中,这些外部图像都不存在。Mandiant顾问怀疑,APT32在监控web日志,以追踪有哪些公共IP地址请求了这些图像。结合电子邮件追踪软件,APT32能够密切追踪钓鱼传播程度、成功率,并且在进一步分析受害者的同时监控安全公司的兴趣。”
内嵌的恶意宏创建两个计划任务,以保证黑客所用后门的持久存在。
第一个计划任务执行Squiblydoo应用,以允许从APT32的基础架构中下载后门。第二个计划任务导致下载第二个后门。这个后门被当做一个多阶段PowerShell脚本,被配置来与log.panggin[.]org、share.codehao[.]net和yii.yiihao126[.]net域进行通信。
APT32攻击者定期清除选定的日志条目,以隐藏他们的行动。他们还利用Daniel Blhannon的Invoke-Obfuscation框架,严重模糊其基于PowerShell的工具和shellcode加载器。
APT32的武器库包含一整套定制后门,比如Windshield、Komprogo、Soundbite、Phoreal和Beacon。FireEye警告说,越来越多的民族国家使用网络行动来收集情报。FireEye总结说:
“据FireEye评估,APT32是一个与越南政府利益一致的网络间谍组织。随着越来越多国家开始利用廉价而有效的网络活动,需要唤起对这些威胁的公众意识,并重建关于新兴的、超越公共部门和情报目的的民族国家入侵。”
小编:在美国国土安全部给出 美国国土安全部阐述美国本土面临的网络威胁中,根据模型对网络威胁分类分级 ,其中有张图可以明显的区别国家级别的威胁能力,与其它组织有何不同
原文发布时间:2017年5月18日
本文由:securityaffairs发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/fireeye-found-apt32
本文来自合作伙伴安全加,了解相关信息可以关注安全加网站