APT32组织是如何持续入侵一家亚洲跨国公司的？

在一次名为“钴蓝猫咪行动 (Operation Cobalt Kitty)”的网络入侵行动中，海莲花组织 (OceanLotus) 黑客组织即APT32跟一家追踪其行踪的安全公司Cybereason玩起了猫捉老鼠的游戏。

Cybereason是一家位于美国的威胁检测解决方案提供商，它当时受雇于一家在亚洲运营的大型跨国公司。后者怀疑却无法定位一次数据泄露事件。调查人员找到了海莲花组织实施入侵的证据。本月初火眼公司将该组织称为APT32并认为它是越南国家黑客。

使用多种工具持续入侵

Cybereason的调查显示，APT32在这家公司存在的时间超过一年。另外，黑客即使在已经知道自己已被发现的情况下还是利用躲避技术设法停留。在调查过程中，Cybereason发现了70多个有效负载和多个域名，还发现六个应该是APT32组织签名工具的自定义工具。火眼公司的报告中提到了五款此类工具，而Cybereason还检测到了卡巴斯基上个月才描述过的Backdoor.Win32.Denis。Win 32.Denis使用DNS隧道进行C&C通信。

Cybereason发现了“钴蓝猫咪行动”的整个生命周期。攻击始于发送针对性的鱼叉式钓鱼邮件：其中一封带有指向虚假Flash安装程序的一个链接，另外一封带有具有攻击性的Office文档附件。这份Word文档包含能通过两个计划任务在被攻陷机器上保持持续性的一个恶意宏。它们的目的都是下载含有“钴蓝打击信标 (Cobalt Strike Beacon)”的次级有效负载。

整个过程都是“无文件形式”。而持续性是通过Windows注册表、服务和计划任务维持的。用于获取“钴蓝打击信标”的是一个PowerShell脚本。

卷土重来

Cybereason将发现结果告知这家公司后，后者通过使用Windwos GPO和Cybereason的执行阻止功能阻止PowerShell的执行。但攻击者并未放弃，而是做出了调整：起初主要是利用自己的自定义和隐秘后门，随后恢复了PowerShell行动。报告指出，攻击者还利用一款公开可获取的名为PSUnlock的更改版本来绕过PowerShell执行限制。

Cybereason认为APT32已准备好应对这类场景，因此能够快速作出调整，这说明该组织具有相应技能并熟悉并掌握该公司的内部网络和运营情况。

攻击者还通过利用Windows Search、Google Update和卡巴斯基的Avpia的DLL劫持来加载包含恶意代码的虚假DLL。它使用DNS隧道进行C2通信和提取数据。Cybereason指出，为了确保DNS流量不会被过滤，攻击者配置了这个后门跟谷歌和OpenDNS DNS服务器通信，因为多数组织机构和安全产品不会过滤流向这两个主要DNS服务的流量。

APT32组织还通过在Outlook中安装后门宏的方式使用了具有创新性且不易被检测到的C2信道。它能够通过邮件执行命令、部署工具并窃取数据。这个宏查找收到的流量、删除相关邮件、执行从被删项目文件夹中发现的命令，最后删除所有表明由攻击者发出或收到邮件的证据。研究人员表示虽然这个后门并非新概念并在过去已出现在多个APT组织中，但这种特定类型的Outlook后门可视作APT32组织的签名工具之一。

跟火眼公司的判断类似，APT32结合使用其自定义后门和免费工具，例如使用Mimikatz作为获取凭证并协助位移运动的主要工具。

并非脚本小子

在整个攻击活动中，APT32组织都表现出了使用并调整此类公开可获取工具的偏好。但报告指出，攻击者并非脚本小子。多数公开可用工具要么被混淆、更改要么甚至跟其它工具合并躲避杀毒检测。这种定制类型要求具有良好的编码能力和对工具运作的了解。

Cybereason并未像火眼公司那样认为海莲花组织可能是受国家支持的黑客，而是将其描述为“意志坚定…..永不言弃，即使是在部分攻击基础设施已暴露并被防御人员关闭的情况下也不例外。”Cybereason并未指出受害公司的名称也未将入侵跟越南的利益挂钩，而只是表示，“我们只能说明攻击者正在针对一家位于亚洲的跨国公司发动针对性攻击”。

然而，对海莲花的进一步分析可看出，“多数捕获的样本似乎都是针对讲越南语的人。一些样本清楚地展示了针对越南实体的证据”。

至于APT32本身，“钴蓝猫咪行动”说明攻击者“具有快速适应、推出新工具并改善现有工具绕过安全解决方案并躲避检测的出色能力。攻击中出现的大量有效负载和详细的C2基础设施说明攻击者拥有丰富的随意调遣资源。同时要实施此类规模和复杂度的APT活动需要时间、经济资源和大规模支持团队的投入。”

Cybereason公司在2015年5月的B轮融资是2500万美元，随后在2015年10月份完成C轮融资5900万美元。该公司已获得融资总计超过8800万美元。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。