安全路透社
当前位置:安全路透社 > 网络转载 > 正文

FireEye:活跃的越南国家网络间谍组织APT32针对外企发起的入侵攻击

vietnam-min.png

据FireEye最近发现,越南国家网络间谍组织APT32(之前被命名为OceanLotus)正在针对外国政府、跨行业的私企公司、不同政见者和媒体记者发起网络入侵攻击。FireEye分析评估认为,APT32使用独特的恶意软件套装结合商用黑客工具,对特定目标开展了有针对性的网络攻击。以下为FireEye的调查报告:

FireEye对APT32的响应调查

在对越南几家外资公司遭受的网络入侵事件调查过程中,FireEye的Mandiant安全响应顾问发现了一些明显的APT32攻击线索和利用架构。为了最大程度的保护目标客户不受APT32入侵,2017年3月,FireEye安全团队成立了由响应技术人员、服务支持、情报分析和产品工程多方组成的社区协同事件防护机制(Community Protection Event,CPE)。

在接下来的数周时间里,FireEye及时发布了相应的威胁情报产品,并积极向客户推送更新的恶意软件库,努力研发APT32恶意软件和钓鱼诱饵的新型检测技术。经过各方的协同合作,我们获取了一些新的攻击线索,并与之前发现的12起入侵事件和4起新型攻击活动形成关联整合,至此,其攻击组织行为逐见轮廓,我们把其命名为APT32。

APT32针对东南亚私企公司发起的网络攻击

至少自2014年起,FireEye就监测到APT32针对与越南有经济贸易的制造业、消费品行业和酒店行业公司机构发起了网络攻击。另外,有迹象表明,APT32还把一些具备涉外投资背景的公司作为攻击目标,如外围网络安全公司、技术基础设施企业和咨询公司等。

以下是FireEye发现的与APT32有关的多起网络入侵事件:

2014年,一家准备在越南投资的欧洲企业,在厂房建成之前其网络系统就被APT32入侵了;

2016年,一些越南本地和具有外资背景的网络安全、技术型基础设施、银行和媒体行业均遭到APT32攻击;

2016年年中,APT32专用的一款恶意软件在一家全球连锁酒店的网络中被检测发现,该酒店正准备将业务扩展到越南;

2016年至2017年期间,APT32针对两家美国和菲律宾在越的消费品行业子公司发起网络入侵;

2017年,APT32入侵了某全球咨询公司在越办事处网络。

下表描述了APT32的一系列攻击活动和使用的相关恶意软件:

01.png

APT32针对政治人士和外国政府发起的网络攻击

除了把一些与越南有经贸往来的私企作为攻击目标之外,从2013年起,APT32也开始把网络入侵范围扩大到一些外国政府、越南籍异见人士和媒体记者身上。其相关的网络攻击活动如下:

电子前沿基金会(Electronic Frontier Foundation)2014年发表的一篇博客声称,越南大量记者、社会活动人士、政客和博客作者在2013年遭受恶意软件攻击。现在看来,这些攻击疑似与APT32高度相关;

2014年,APT32以东南来侨民为目标,发送包含恶意软件,附件名为“Plans to crackdown on protesters at the Embassy of Vietnam.exe”的钓鱼邮件;同年,APT32也向某些西方国家立法机构发起过网络攻击;

2015年,奇虎360天眼实验室发布分析报告,详细介绍了名为“海莲花”的黑客组织针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域发起攻击。报告表明,海莲花”组织具备与APT32相同的恶意软件、网络架构和类似目标;

2015年和2016期间,两家越南媒体公司遭受攻击,其攻击使用的恶意软件经FireEye分析识别为APT32所属;

2017年,APT32攻击者使用社会工程学方式,向澳大利亚的越南侨民和菲律宾政府雇员发起了钓鱼邮件攻击。

APT32的攻击手法(TTPs)

从当前的分析来看,APT32会通过社会工程学手段结合ActiveMime类文件引诱目标用户开启宏功能,一旦用户启用宏功能,并点击执行了攻击者发送的恶意文件后,将会从远程服务器上隐性下载多个恶意攻击载荷。之后,攻击者会继续通过钓鱼邮件方式向目标发送恶意附件。

为了迷惑不同的特定目标,APT32专门设计了多语言的诱饵文件。这些文件虽然都具有“.doc”后缀扩展,但经还原分析,这些文件实际上是包含文本和图片的ActiveMine类型的“.mht”格式Web页面,攻击者可能是通过将Word文档导出为单个网页来进行创建的。以下为部分经还原处理的包含多种语言的APT32钓鱼邮件附件示例:

02.png

嵌入钓鱼邮件经过base64编码的ActiveMine数据包含一个带有恶意宏的OLE文件,当该文件被受害者打开后,许多诱饵附件会向用户显示诱骗启用恶意宏的错误信息。如图所示,攻击者使用虚假的Gmail主题配合16进制错误代码,诱骗收件人启用文档宏功能;

Fig1.png

如图所示,另一个APT32钓鱼文件极力伪装成Windows错误信息弹窗,诱骗收件人启用宏功能以显示文档字体:

Fig2.png

APT32攻击者使用了多种新颖技术,以实现钓鱼攻击效果跟踪、恶意文档分发监控,以及持久化内存注入和后门驻留机制建立。

为了实时跟踪谁打开了钓鱼邮件、查看了链接以及下载了附件,APT32使用了针对销售行业的基于云的邮件分析软件。在某些情况下,APT32都不使用发送邮件附件的方式,转而将ActiveMime钓鱼文件托管在合法的外部云存储服务上,只向受害者发送钓鱼诱饵文件链接,之后配合跟踪技术向目标开展攻击。

为了进一步掌握钓鱼文件的分发感染情况,APT32使用了ActiveMime文档的原生Web页面功能,其中涉及的外链图片就直接托管于APT32控制的网络架构服务器中。如下图所示,APT32的某个钓鱼文件中使用了HTML图片标签用来进一步跟踪钓鱼攻击动向:

Fig3.png

当此类功能文档被受害者打开后,即使宏功能是禁用的,Word程序会尝试某远程地址下载外链图片。但在我们分析的所有钓鱼文档中,却发现不存在任何已下载的外链图片。我们的安全响应团队推测APT32估计是以此方式,根据Web请求日志来跟踪请求外链图片的受害者公共IP。另外结合电邮跟踪软件,APT32能够密切掌握钓鱼文档的分发传播和有效感染情况,同时还能执行对受害者的进一步判断分析,监测市面安全公司的当前关注点。

一旦目标系统启用了宏功能,为实现后门的持久驻留,恶意宏文件将会在感染系统中为两个后门分别创建两个指定的计划任务。其中,第一个计划任务将执行一个COM脚本,启动应用白名单脚本保护绕过程序,从APT32的网络架构上动态下载第一个后门,并将其注入到内存中;为伪造任务属性,第二个计划任务将会以XML文件形式加载,然后运行一个JavaScript代码块下载并启动第二个辅助后门程序,该后门为多级的PowerShell执行脚本。在APT32的大多数钓鱼文档中,这两个后门一个为APT32专门的常用的后门,另一个商用后门常作为备份之用。

为了说明这些钓鱼文档的复杂性,我们还原了APT32使用的钓鱼文档“2017年员工工资性津贴额统计报告.doc”,下图所示为其持久驻留机制的任务创建代码:

Fig4.png

该样本示例中,恶意文件创建了一个名为“Windows Scheduled Maintenance”的计划任务,每隔30分钟运行一次Casey Smith博客发表的“Squiblydoo”应用白名单绕过程序。攻击者利用的所有Payload都可以动态更新,在Payload发起时,该计划任务会启动一个为.sct后缀的COM小程序,下载并执行托管在“images.chinabytes[.]info”服务器上的Meterpreter Payload。之后,Meterpreter Payload会加载Cobalt Strike BEACON工具,利用可扩展的Safebrowing C2文件配置流量与80.255.3[.]87进行通信。

第二个名为“Scheduled Defrags”的计划任务,由加载时间戳为2016年6月2日的原始XML任务文件而创建。该计划任务会每隔50分钟运行一次“mshta.exe”进程以启动包含Shellcode的PowerShell脚本专用后门,之后,感染系统将会与远端的“blog.panggin[.]org”、“ share.codehao[.]net”和“yii.yiihao126[.]net”建立通信。

下图显示了APT32的某钓鱼文档成功执行后的感染流程,最终会实现将两个多阶段目标的恶意软件框架动态注入到受害者系统内存中:

APT32v4.png

APT32在受害者系统中成功驻留后将会执行深入攻击活动。Mandiant多起调查事件发现,APT32在获取系统权限之后,会定期清除某些特定的系统事件日志,还会使用Daniel Bohannon的Invoke-Obfuscation框架对PowerShell类工具和shellcode加载程序进行代码混淆处理。

APT32经常在一些正常的系统活动中使用一些隐匿技术进行伪装:

在对某事件的调查中,我们发现APT32将CVE-2016-7255权限提升漏洞的利用工具伪装成Windows的一个更新包;

在另一次调查中,我们发现APT32通过控制利用McAfee ePO网络基础设施,将恶意软件伪装为ePO软件部署任务并托管于使用SPIPE专有协议的ePO服务器之上,以实现对Payload的隐藏存储传播;

除此之外,APT32还在系统中使用了隐藏或不可打印的字符以伪装恶意软件。例如,APT32在系统中安装的一个后门利用了系统的某合法服务名称,该名称包含一个不可中断的Unicode空格字符。另一个后门则伪装使用了某个合法的DLL文件名,其文件名中填充进了一个不可打印的系统命令控制代码。

APT32 使用的恶意软件和网络基础架构

APT32似乎具备资源充足强大的后备研发能力,还使用了一套多协议的定制后门程序套件。并且,APT32经常使用包括WINDSHIELD、KOMPROGO、SOUNDBITE以及PHOREAL在内的多种恶意Payload,通过这些Payload特征都能对APT32的攻击行为进行检测识别。另外,APT32经常将定制后门与商用的Cobalt Strike BEACON后门一起使用。目前来看,APT32可能也具备对macOS系统的后门感染部署能力。下表为APT32使用的一些定制化恶意软件套装及其功能:

03.png04.png

除此之外,为进行网络攻击的C&C架构,APT32控制掌握了大量域名和IP地址,综合以上分析来看,APT32组织具备强有力的后备技术支撑。基于Mandiant的大量调查,我们的安全响应产品中包含了其它更多关于APT32恶意软件各类特征。下图总结展示了APT32在攻击活动中的使用工具和行动流程:

Fig6.png

总结与启示

基于我们的应急响应调查、产品检测和对其他针对APT32分析报告来看,我们评估认为APT32是与越南政府利益密切相关的网络间谍组织。APT32对私营公司的攻击意图值得注意,这将会对在越投资开展业务的公司造成严重安全威胁。

虽然APT32针对企业的攻击意图动机有所不同,甚至不清,但这种未经授权的入侵访问可以让攻击者作为一种平台,进行隐匿执法、知识产权窃取或反腐手段调查等,最终达到削弱目标组织机构竞争优势的目的。此外,由于各国政府、记者以及越南移民也是该组织的攻击目标,从某种程度上来说,APT32还威胁到东南亚和全球公共部门的政治活动和言论自由。

虽然来自中国、伊朗、俄罗斯和朝鲜的网络间谍组织一直是我们密切关注的对象,但从APT32可以看出,许多新兴国家也具备了网络空间的入侵威胁能力。APT32向我们展示了如何通过一些开发工具和商用软件的灵活配合,最终实现方便有效的网络攻击能力。随着越来越多的国家逐渐开始使用廉价高效的网络攻击手段,公众亟需提高对这类威胁的防范意识,与此同时,各方应积极重视这种超越公共部门和情报目标的国家级网络空间入侵行为。

APT32的检测识别

下图YARA规则可以检测APT32进行钓鱼攻击使用的恶意宏:

Fig7.png

以下为FireEye分析整理的APT32攻击活动相关网络基础架构信息:

05.png

*参考来源:FireEye,freebuf小编clouds编译,转载请注明来自FreeBuf.com。

未经允许不得转载:安全路透社 » FireEye:活跃的越南国家网络间谍组织APT32针对外企发起的入侵攻击

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册