信息來源:mottoin
根據BlackBerry Cylance本周一公布的研究結果,越南頂級黑客組織“海蓮花(OceanLotus)”使用的一套遠程訪問工具此前多年未被發(fā)現,這個名為Ratsnif的黑客工具允許修改網頁和SSL劫持�����。
頂級威脅組織——越南“海蓮花”
早在2017年11月���,網絡威脅響應公司 Volexity 就發(fā)表了一份安全報告����,宣稱越南黑客組織“海蓮花”已然成為當今威脅領域中“最先進”的網絡犯罪團伙之一,自2012年以來一直處于活躍狀態(tài)�����,其主要針對越南境內多家行業(yè)機構�����、境外組織�����、政客與記者展開大規(guī)模網絡間諜活動�����,疑似越南政府背景�。
據信,“海蓮花”是一個擁有先進技術的威脅團體����,一直致力于為越南政府牟利的間諜活動,該組織也被稱為APT32����、CobaltKitty�����、SeaLotus和APT-C-00����。該組織近年來因使用精心設計的黑客工具破壞在越南擁有商業(yè)利益的外國公司�����,特別是在制造業(yè)和酒店業(yè)����,因此而臭名昭著,其常使用的惡意工具為Cobalt Strike�����。
據研究人員的說法�����,海蓮花在今年2月和3月表現活躍����,其目標明確——攻擊跨國汽車公司以支持越南本土汽車業(yè)。
研究人員在分析了“海蓮花”以往攻擊活動后總結了該組織的主要攻擊特點:
-
主要通過戰(zhàn)略性破壞網站進行大規(guī)模數字化分析與信息收集活動��;
-
瞄準與政府��、軍事�、人權、公民社會組織��、媒體���、國家石油勘探等有關的個人與組織發(fā)動攻擊��;
-
使用白名單定位目標用戶與組織���;
-
利用自定義 Google Apps 訪問受害者的 Gmail 帳戶,以竊取電子郵件和聯(lián)系人等敏感信息��;
-
戰(zhàn)略性和有針對性的修改受害網站視圖�,以便安裝惡意軟件或竊取訪問者的電子郵件帳戶;
-
大型DDoS攻擊的基礎架構由多家服務器托管商提供�;
-
偽造合法在線服務與組織的域名分發(fā)惡意軟件,如AddThis��、Disqus、Akamai���、百度��、Cloudflare�、Facebook���、Google等����;
-
加密目標企業(yè)SSL/TLS證書�;
-
開發(fā)并使用多款后門軟件,如Cobalt Strike等����。
非典型黑客工具——Ratsnif
此次被發(fā)現使用遠程訪問特洛伊木馬(RAT)——Ratsnif,對于研究“海蓮花”組織的安全研究人員來說似乎有點意外�����。
BlackBerry Cylance負責歐洲���、中東和亞洲地區(qū)威脅研究的主管Tom Bonner表示:海蓮花使用的惡意軟件中通常不存在“粗糙的代碼��、程序錯誤和調試消息”���,而Ratsnif的開發(fā)人員使用了復雜且不必要的方式來為該惡意軟件提供配置文件路徑?����!昂喍灾?,Ratsnif并不太符合OceanLotus惡意軟件中常見的高標準”。
Bonner進一步表示�����,這種惡意軟件與以前被發(fā)現的海蓮花樣本之間存在差異的一個可能原因是�,在此活動中使用的工具并非是由海蓮花本身開發(fā)的,而是由其他組織開發(fā)的����。正如惡意軟件專家此前預測的那樣,“海蓮花不斷使用不同的技術��,甚至重新使用公開的漏洞利用代碼�。”因此�,最好的解釋是該組織可能無法訪問Ratsnif的源代碼進行特定的修改�。
盡管Ratsnif的開發(fā)制造稍顯粗糙��,由各種開源代碼拼湊而成����,但仍能為黑客提供了強大的網絡攻擊能力,包括攔截網絡流量��、欺騙域名系統(tǒng)數據����、向HTTP注入惡意攻擊代碼。
目前尚不清楚海蓮花組織針對哪些實體部署了Ratsnif工具����,以及是否成果入侵感染。
