錦州市廣廈電腦維修|上門維修電腦|上門做系統(tǒng)|0416-3905144熱誠服務(wù),錦州廣廈維修電腦,公司IT外包服務(wù)
topFlag1 設(shè)為首頁
topFlag3 收藏本站
 
maojin003 首 頁 公司介紹 服務(wù)項(xiàng)目 服務(wù)報(bào)價(jià) 維修流程 IT外包服務(wù) 服務(wù)器維護(hù) 技術(shù)文章 常見故障
錦州市廣廈電腦維修|上門維修電腦|上門做系統(tǒng)|0416-3905144熱誠服務(wù)技術(shù)文章
APT32“海蓮花”近期多平臺(tái)攻擊活動(dòng):熟悉的手段,全新的IOC

作者: 佚名  日期:2018-10-19 17:45:58   來源: 本站整理

 海蓮花”,又名APT32和OceanLotus,是越南背景的黑客組織。該組織至少自2012年開始活躍,長期針對中國能源相關(guān)行業(yè)、海事機(jī)構(gòu)、海域建設(shè)部門、科研院所和航運(yùn)企業(yè)等進(jìn)行網(wǎng)絡(luò)攻擊。除中國外,“海蓮花”的目標(biāo)還包含全球的政府、軍事機(jī)構(gòu)和大型企業(yè),以及本國的媒體、人權(quán)和公民社會(huì)等相關(guān)的組織和個(gè)人。
2017年下半年至今,微步在線發(fā)布了《“海蓮花”團(tuán)伙的最新動(dòng)向分析》、《“海蓮花”團(tuán)伙專用后門Denis最新變種分析》、《微步在線發(fā)現(xiàn)“海蓮花”團(tuán)伙最新macOS后門》和《“海蓮花”團(tuán)伙本月利用Office漏洞發(fā)起高頻攻擊》等多篇報(bào)告,披露了APT32的相關(guān)攻擊活動(dòng)。近期,微步在線黑客畫像系統(tǒng)監(jiān)控到該組織多平臺(tái)的攻擊活動(dòng),經(jīng)分析發(fā)現(xiàn):
APT32的攻擊活動(dòng)仍在持續(xù),近期中國、韓國、美國和柬埔寨等國金融、政府和體育等行業(yè)相關(guān)目標(biāo)遭到定向攻擊。
攻擊平臺(tái)包含Windows和macOS,攻擊手法相比之前變化不大,除都使用了偽裝Word文檔的可執(zhí)行程序之外,針對Windows平臺(tái)的還利用了CVE-2017-11882漏洞。
針對Windows平臺(tái)的木馬部分利用了白加黑技術(shù),部分利用了Regsvr32.exe加載執(zhí)行OCX可執(zhí)行文件。此外,相比之前多利用Symantec公司簽名的程序進(jìn)行白加黑利用來投遞Denis木馬,APT32近期增加了對Intel和Adobe公司簽名程序的白加黑利用。
針對macOS平臺(tái)的木馬相較之前其Dropper和Payload加了殼和虛擬機(jī)檢測。
微步在線通過對相關(guān)樣本、IP和域名的溯源分析,共提取22條相關(guān)IOC,可用于威脅情報(bào)檢測。微步在線的威脅情報(bào)平臺(tái)(TIP)、威脅情報(bào)訂閱、API等均已支持此次攻擊事件和團(tuán)伙的檢測。
詳情
微步在線長期跟蹤全球150多個(gè)黑客組織。近期,微步在線監(jiān)測到APT32針對中國、韓國、美國和柬埔寨等國金融、政府和體育等行業(yè)相關(guān)目標(biāo)的多平臺(tái)攻擊活動(dòng)。 該組織近期手法與之前相比變化不大,其中針對Windows平臺(tái)的攻擊主要利用包含CVE-2017-11882漏洞的doc文檔結(jié)合白加黑利用和圖標(biāo)偽裝為Word的RAR自解壓文件來投遞其特種木馬Denis,針對macOS平臺(tái)的亦同樣是將macOS應(yīng)用程序偽裝為Word文檔進(jìn)行木馬投遞。
與此前一樣,誘餌文檔內(nèi)容都是模糊圖片,例如Scanned Investment Report-July 2018.ⅾocx:

樣本分析
微步在線在8月份監(jiān)控到多起APT32的攻擊活動(dòng),涉及Windows和macOS平臺(tái)。相關(guān)分析如下:
Windows樣本
漏洞樣本
在Office漏洞利用方面,APT32近期主要利用CVE-2017-11882漏洞投遞Denis木馬。《“海蓮花”團(tuán)伙本月利用Office漏洞發(fā)起高頻攻擊》對CVE-2017-11882漏洞利用做過詳細(xì)分析,詳情可查閱相關(guān)報(bào)告。近期相關(guān)的部分漏洞樣本:
SHA256
文件名
誘餌內(nèi)容
C2
攻擊手法
e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189
July , 2018.doc
模糊圖片
ourkekwiciver.comdieordaunt.comstraliaenollma.xyz
CVE-2017-11882加Intel白利用
0abe0a3b1fd81272417471e7e5cc489b234a9f84909b019d5f63af702b4058c5
FW Report on demonstration of former CNRP in Republic of Korea.doc
模糊圖片
andreagahuvrauvin.combyronorenstein.comstienollmache.xyz
CVE-2017-11882加Adobe白利用
以e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189為例,該樣本在微步在線云沙箱的分析結(jié)果如下圖所示,從“云沙箱-威脅情報(bào)IOC”可發(fā)現(xiàn)此樣本相關(guān)C2已被識別為APT32所有。

多引擎檢測:

執(zhí)行流程:

威脅情報(bào)IOC
RAR自解壓樣本
APT32經(jīng)常使用偽裝成Word文檔的可執(zhí)行程序作為投遞木馬的載體,通常還會(huì)結(jié)合RLO手法迷惑受害者。近期偽裝成Word文檔的部分RAR自解壓文件:
SHA256
文件名
誘餌內(nèi)容
C2
攻擊手法
58e294513641374ff0b42b7c652d3b4a471e8bde8664a79311e4244be0546df4
Sum for July 2018.exe
模糊圖片
andreagbridge.comillagedrivestralia.xyzbyronorenstein.com
RAR自解壓,利用regsvr32.exe運(yùn)行OCX
78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064
feedback, Rally in USA from July 28-29, 2018.exe
模糊圖片
stienollmache.xyzchristienollmache.xyzlauradesnoyers.com
RAR自解壓,利用regsvr32.exe運(yùn)行OCX
以樣本78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064為例。使用WinRAR查看該文件,可發(fā)現(xiàn)該自解壓文件運(yùn)行后會(huì)通過regsvr32.exe加載執(zhí)行釋放的OCX可執(zhí)行文件,然后打開誘餌文檔迷惑受害者,如下圖:

該樣本在微步在線云沙箱的分析結(jié)果如下圖所示,從“云沙箱-威脅情報(bào)IOC”亦可發(fā)現(xiàn)此樣本相關(guān)C2已被識別為APT32所有。



熱門文章
  • 機(jī)械革命S1 PRO-02 開機(jī)不顯示 黑...
  • 聯(lián)想ThinkPad NM-C641上電掉電點(diǎn)不...
  • 三星一體激光打印機(jī)SCX-4521F維修...
  • 通過串口命令查看EMMC擦寫次數(shù)和判...
  • IIS 8 開啟 GZIP壓縮來減少網(wǎng)絡(luò)請求...
  • 索尼kd-49x7500e背光一半暗且閃爍 ...
  • 樓宇對講門禁讀卡異常維修,讀卡芯...
  • 新款海信電視機(jī)始終停留在開機(jī)界面...
  • 常見打印機(jī)清零步驟
  • 安裝驅(qū)動(dòng)時(shí)提示不包含數(shù)字簽名的解...
  • 共享打印機(jī)需要密碼的解決方法
  • 圖解Windows 7系統(tǒng)快速共享打印機(jī)的...
  • 錦州廣廈電腦上門維修

    報(bào)修電話:13840665804  QQ:174984393 (聯(lián)系人:毛先生)   
    E-Mail:174984393@qq.com
    維修中心地址:錦州廣廈電腦城
    ICP備案/許可證號:遼ICP備2023002984號-1
    上門服務(wù)區(qū)域: 遼寧錦州市區(qū)
    主要業(yè)務(wù): 修電腦,電腦修理,電腦維護(hù),上門維修電腦,黑屏藍(lán)屏死機(jī)故障排除,無線上網(wǎng)設(shè)置,IT服務(wù)外包,局域網(wǎng)組建,ADSL共享上網(wǎng),路由器設(shè)置,數(shù)據(jù)恢復(fù),密碼破解,光盤刻錄制作等服務(wù)

    技術(shù)支持:微軟等
    主站蜘蛛池模板: 亚洲成A人片在线观看无码不卡| 无码精品不卡一区二区三区| 无码福利一区二区三区| 潮喷无码正在播放| 91精品国产综合久久四虎久久无码一级 | 亚洲精品无码不卡在线播HE| 亚洲大尺度无码无码专线一区 | 国模GOGO无码人体啪啪| 97精品人妻系列无码人妻| 久久无码一区二区三区少妇| 永久免费av无码不卡在线观看| 日产无码1区2区在线观看| 亚洲国产成人精品无码区花野真一| 亚洲äv永久无码精品天堂久久 | 亚洲韩国精品无码一区二区三区 | 亚洲精品无码专区在线播放| 中文字幕丰满乱孑伦无码专区| 中文字幕av无码不卡| 亚洲av永久无码天堂网| 伊人久久精品无码麻豆一区| 亚洲中文字幕无码久久综合网| 国产在线无码制服丝袜无码| 亚洲AV成人片无码网站| 久久精品无码精品免费专区| 无码日韩精品一区二区三区免费| 日韩无码系列综合区| 精品久久久无码中文字幕边打电话 | 亚洲精品无码永久在线观看男男| 亚洲精品无码精品mV在线观看 | 国产成人无码精品久久久性色 | 国产仑乱无码内谢| 日韩精品无码Av一区二区| 精品久久久久久无码不卡| 无码人妻久久一区二区三区| yy111111少妇影院无码| 国产成人精品无码专区| 无码毛片一区二区三区中文字幕 | 成年午夜无码av片在线观看| 夜夜精品无码一区二区三区 | 精品无码国产污污污免费网站| 无码av高潮喷水无码专区线|