越南“海莲花”的攻击复杂度已匹敌俄罗斯Turla组织
翻译:360代码卫士团队
事件响应企业Volexity周一指出,据悉源自越南的网络间谍组织“海莲花”(或称APT 32)的攻击能力越来复杂,能够跟俄罗斯臭名昭著的Turla APT组织相匹敌。
“海莲花”攻击多种组织,被指源自越南
“海莲花(OceanLotus)”组织至少现身于2012年,它针对东南亚国家如越南、菲律宾和中国等地的多种组织机构发动攻击,其中一些攻击范围还扩展至欧洲和美国。被攻击实体包括政府、记者、活动分子、技术公司、消费者产品制造商、银行和酒店行业的组织机构。
“海莲花”在行动中同时使用Windows和Mac恶意软件,以及一些聪明的技术来躲避检测。
Volexity从2017年5月起开始追踪“海莲花”组织,尤其是针对东盟、媒体、人权和公民团体组织机构的攻击活动。Volexity也认为“海莲花”源自越南,这一点跟火眼公司的推断一致。
“海莲花”攻击的复杂程度提升
Volexity在一篇博客中指出,“Volexity认为攻击活动的规模和范围已经追赶上俄罗斯APT组织Turla了。”该公司分析指出,“海莲花”使用的水坑式攻击涉及100多个被攻陷的政府、军队、媒体、公民团队、人权和石油勘探实体的网站。
研究人员认为,“海莲花”的攻击目的性很强;被攻陷站点仅向白名单访客发送恶意代码。目标用户会看到虚假的屏幕,它旨在诱骗用户授权一款恶意谷歌app,以访问用户的邮件和通讯录。其中一些被攻陷站点还被用于传播后门和其他类型的工具,包括合法软件(如CobaltStrike)和定制化恶意软件。
研究人员还发现攻击者创建了很多虚假域名模仿合法服务如AddThis、Akamai、百度、Cloudflare、Disqus、Facebook和谷歌。其中很多网站都使用了由Let’s Encrypt发布的SSL证书。
Volexity认为“海莲花”组织已快速提升了其攻击能力,而且正在成为当前最复杂的APT威胁者之一。
Cybereason公司也发布报告详细说明了“海莲花”组织的复杂能力,报告分享了该组织在一家亚洲国际公司系统内部开展的“猫捉老鼠”活动。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/vietnamese-spies-rival-notorious-russian-group-sophistication