新闻快讯
< >

越南APT组织“海莲花”仍在活跃,利用新后门攻击东亚国家

越南APT组织“海莲花”仍在活跃,利用新后门攻击东亚国家-E安全

根据网络安全公司ESET发布的分析报告,越南高级持续性威胁(APT)组织OceanLotus(在我国被称为“海莲花”)已经为其恶意工具库添加了新的后门程序,而这个后门程序包含了启用文件、注册表和进程操纵以及下载更多其他恶意文件的功能。

来自ESET公司的安全研究员Tomas Foltyn 介绍说,该组织通过发起鱼叉式网络钓鱼和水坑攻击活动来传播该后门程序,同时依靠了过去曾经使用过但未被发现的策略,包括大量代码混淆和DLL侧载。

被称为“Korplug.MK”的后门程序主要针对了东亚国家,如越南、菲律宾、老挝和柬埔寨。ESET发言人Anna Keeve通过电子邮件告诉媒体称,这个后门程序的行为与远控木马PlugX类似,后者也被称为Korplug,并自2012年以来就一直存在。

OceanLotus,又被称为APT32和APT-C-00,被认为是与越南政府有关的,具备丰厚的资源,能够利用先进的工具、战术和程序(TTP)针对特定的目标发动复杂的、先进的网络攻击。其通常使用的攻击方式,就是前面提到的鱼叉式网络钓鱼和水坑攻击。

越南APT组织“海莲花”仍在活跃,利用新后门攻击东亚国家-E安全

在鱼叉式网络钓鱼攻击活动中,一个作为诱饵的恶意文档并作为了附件与电子邮件一起分发,文档包含了一个恶意文件Win32/TrojanDropper.Agent.RUI,该文件被用来传播Korplug.MK。为了增加不知情受害者的点击可能性,恶意可执行文件通常会伪装成文档或电子表格的图标。

诱饵文档通常是以英文或者越南文编写的,已经被发现的诱饵文档以多种主题出现,包括伪造的Mi-17俄罗斯直升机技术文档、虚假简历、各种虚假的商业文件以及要求收件人向越南电信公司Saigontel提供投诉细节的虚假文件。

水坑攻击则涉及到入侵并控制一个受害者可能访问的网站,在这种情况下,Korplug.MK被嵌入在伪装成合法软件的恶意应用程序或恶意更新程序中。

ESET在其报告中表示,滴管组件RobototFontUpdate.exec伪装成了Roboto Slab字体更新。它会在多个阶段中执行,而在每个阶段都会涉及大量的代码混淆,旨在逃避防病毒软件的安全检测。另外,为了误导安全研究人员的调查方向,它还包含了一些垃圾代码。

越南APT组织“海莲花”仍在活跃,利用新后门攻击东亚国家-E安全

当滴管组件以管理员权限运行时,一个Windows服务将被创建,用于在受感染系统上建立持久性(即使在系统重启后依然能够自动运行)。另外,滴管组件还包含了一个删除模块,其唯一目的是在完成任务后删除诱饵文档。

越南APT组织“海莲花”仍在活跃,利用新后门攻击东亚国家-E安全

在建立持久性并删除诱饵文档后,滴管组件会生成两个文件:一个来自合法软件开发商(包括McAfee和Symantec)的数字签名可执行文件和一个以合法可执行文件命名的恶意动态链接库(DLL),后者便是Korplug.MK后门程序。

越南APT组织“海莲花”仍在活跃,利用新后门攻击东亚国家-E安全

“这两个文件以一种被称为'DLL side-loading'的技巧为基础,它包括通过在与签名的可执行文件相同的文件夹中植入一个恶意DLL来选择合法应用程序的库加载过程。” Foltyn在博客文章中解释道,“这是一种保持不易被怀疑的方式,因为具有有效签名的可信应用程序通常不太可能引起怀疑。”

一旦Korplug.MK正式执行,它将采集受感染系统的各种信息(包括计算机和操作系统)数据,并将这些数据发送到命令与控制(C&C)服务器,然后等待攻击者的命令。

ESET表示,新后门的运用表明OceanLotus仍在保持活跃,并不断升级其恶意工具库。另外,新后门能够兼具逃避防病毒软件的安全检测以及利用有效数字签名来保持隐匿性的能力也证明,OceanLotus的能力正在随着事件推移而提高,他们已经能够将合法代码和公开可用的工具结合起来以开发出属于自己的恶意工具。