全球顶级黑客组织巡礼——越南“海莲花”的新秘密武器

[复制链接]
查看: 113|回复: 0

该用户从未签到

发表于 2019-7-9 06:24:47 | 显示全部楼层 |阅读模式
根据BlackBerry Cylance本周一公布的研究效果,越南顶级黑客构造“海莲花(OceanLotus)”使用的一套远程访问工具此前多年未被发现,这个名为Ratsnif的黑客工具答应修改网页和SSL挟制。







顶级威胁构造——越南“海莲花”
早在2017年11月,网络威胁相应公司 Volexity 就发表了一份安全陈诉,宣称越南黑客构造“海莲花”已然成为当今威胁范畴中“开始辈”的网络犯罪团伙之一,自2012年以来不绝处于活泼状态,其重要针对越南境内多家行业机构、境外构造、政客与记者睁开大规模网络特工活动,疑似越南当局配景。
据信,“海莲花”是一个拥有先辈技能的威胁团体,不绝致力于为越南当局牟利的特工活动,该构造也被称为APT32、CobaltKitty、SeaLotus和APT-C-00。该构造比年来因使用经心计划的黑客工具粉碎在越南拥有贸易长处的外国公司,特殊是在制造业和旅馆业,因此而污名昭著,其常使用的恶意工具为Cobalt Strike。
据研究职员的说法,海莲花在本年2月和3月表现活泼,其目标明白——攻击跨国汽车公司以支持越南本土汽车业。
研究职员在分析了“海莲花”以往攻击活动后总结了该构造的重要攻击特点:

  • 重要通过战略性粉碎网站举行大规模数字化分析与信息网络活动;
  • 对准与当局、军事、人权、公民社会构造、媒体、国家石油勘探等有关的个人与构造发动攻击;
  • 使用白名单定位目标用户与构造;
  • 使用自界说 Google Apps 访问受害者的 Gmail 帐户,以偷取电子邮件和接洽人等敏感信息;
  • 战略性和有针对性的修改受害网站视图,以便安装恶意软件或偷取访问者的电子邮件帐户;
  • 大型DDoS攻击的底子架构由多家服务器托管商提供;
  • 伪造正当在线服务与构造的域名分发恶意软件,如AddThis、Disqus、Akamai、百度、Cloudflare、Facebook、Google等;
  • 加密目标企业SSL/TLS证书;
  • 开辟并使用多款后门软件,如Cobalt Strike等。
非范例黑客工具——Ratsnif
此次被发现使用远程访问特洛伊木马(RAT)——Ratsnif,对于研究“海莲花”构造的安全研究职员来说似乎有点不测。
BlackBerry Cylance负责欧洲、中东和亚洲地区威胁研究的主管Tom Bonner表现:海莲花使用的恶意软件中通常不存在“粗糙的代码、步伐错误和调试消息”,而Ratsnif的开辟职员使用了复杂且不须要的方式来为该恶意软件提供设置文件路径。“简而言之,Ratsnif并不太符合OceanLotus恶意软件中常见的高尺度”。
Bonner进一步表现,这种恶意软件与从前被发现的海莲格式本之间存在差别的一个大概缘故起因是,在此活动中使用的工具并非是由海莲花本身开辟的,而是由其他构造开辟的。正如恶意软件专家此前猜测的那样,“海莲花不停使用差别的技能,乃至重新使用公开的毛病使用代码。”因此,最好的表明是该构造大概无法访问Ratsnif的源代码举行特定的修改。
只管Ratsnif的开辟制造稍显粗糙,由各种开源代码拼集而成,但仍能为黑客提供了强盛的网络攻击本事,包罗拦截网络流量、诱骗域名体系数据、向HTTP注入恶意攻击代码。
现在尚不清楚海莲花构造针对哪些实体摆设了Ratsnif工具,以及是否效果入侵感染。

来源:彬州市
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

返回顶部 关注微信 下载APP 返回列表