国内新闻:DarkHotel、黄金鼠、海莲花

腾讯御见威胁情报中心 发布《DarkHotel(黑店)APT组织针对朝鲜半岛的精确打击行动——SYSCON后门最新攻击活动分析

腾讯御见威胁情报中心曾在9月底发布了《DarkHotel APT组织揭秘:针对高端商务人士、政要人物的精准攻击已持续8年》,分析报告提到的后门程序SYSCON/SANNY是专门针对朝鲜半岛相关的政治目标进行攻击的恶意文件,其主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门,偶尔也会针对东南亚等国进行攻击。

通过分析发现,该后门跟DarkHotel的TTPs相吻合,因此我们把该后门归结为DarkHotel(黑店)APT组织。该后门从2017年下半年开始活跃,并且对多个目标进行了攻击活动,而该后门的最早的攻击历史可以追溯到2012年。

腾讯御见威胁情报中心对该后门进行了长期跟踪,发现该后门一直以来的特色就是使用FTP协议进行C&C通信,并且有很强的躲避技术和绕UAC技术。而最新版本的后门采用了多阶段执行、云控、绕最新UAC等技术,使得攻击更加的隐蔽和难以发现。

链接:https://mp.weixin.qq.com/s/rh4DoswLUNkS8uiHjrFU9A

360CERT发布报告:《”黄金鼠”组织近期攻击样本分析 》

黄金鼠组织(APT-C-27)是一个长期针对叙利亚等阿拉伯国家实施网络间谍攻击的恶意团伙。其团伙主要以APK、PE、VBS、JS文件作为攻击载体,涉及Android和Windows两大平台,利用社交网络和鱼叉邮件等方式散布和传播恶意载荷。

本次360 CERT捕获的恶意样本是内嵌Package对象的Office钓鱼文档。从样本类型来看,此次攻击行动疑似采用鱼叉邮件的方式向受害者进行投递。样本伪造联合国近东巴勒斯坦难民救济和工程处发布内嵌一份重要表格的公函诱使受害者执行Package对象执行攻击载荷。

链接:https://cert.360.cn/report/detail?id=b9cf062c42d64a81886a687caea51af6

微步情报局发布报告:《“海莲花”近期多平台攻击活动:熟悉的手段,全新的IOC 》

“海莲花”,又名APT32和OceanLotus,是越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。

2017年下半年至今,微步在线发布了《“海莲花”团伙的最新动向分析》、《“海莲花”团伙专用后门Denis最新变种分析》、《微步在线发现“海莲花”团伙最新macOS后门》和《“海莲花”团伙本月利用Office漏洞发起高频攻击》等多篇报告,披露了APT32的相关攻击活动。近期,微步在线黑客画像系统监控到该组织多平台的攻击活动,经分析发现:

  • APT32的攻击活动仍在持续,近期中国、韩国、美国和柬埔寨等国金融、政府和体育等行业相关目标遭到定向攻击。
  • 攻击平台包含Windows和macOS,攻击手法相比之前变化不大,除都使用了伪装Word文档的可执行程序之外,针对Windows平台的还利用了CVE-2017-11882漏洞。
  • 针对Windows平台的木马部分利用了白加黑技术,部分利用了Regsvr32.exe加载执行OCX可执行文件。此外,相比之前多利用Symantec公司签名的程序进行白加黑利用来投递Denis木马,APT32近期增加了对Intel和Adobe公司签名程序的白加黑利用。
  • 针对macOS平台的木马相较之前其Dropper和Payload加了壳和虚拟机检测。
  • 微步在线通过对相关样本、IP和域名的溯源分析,共提取22条相关IOC,可用于威胁情报检测。微步在线的威胁检测平台(TDP)、多源威胁情报管理平台(TIP)、威胁情报订阅、API等均已支持此次攻击事件和团伙的检测。

链接:https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=785

发表评论

电子邮件地址不会被公开。 必填项已用*标注