海莲花针对东南亚的水坑攻击新活动&俄罗斯APT28和29最新情报&朝鲜Lazarus最新情报

释放双眼,带上耳机,听听看~!

关注并转发,开心你我他

一、海莲花组织最新活动:针对东南亚的水坑攻击活动


       海莲花本次针对东南亚的水坑攻击活动,自2018年9月以来一直活跃。

       该活动因其规模庞大而脱颖而出,目前已经有21个被入侵的网站,被入侵的网站包括柬埔寨国防部,柬埔寨外交和国际合作部以及几个越南报纸和博客网站

        该活动被认为是OceanLotus Framework B演变而来,也就是之前各种js挂马还有更新程序下发的那次,具体看去年9月的海莲花水坑攻击。

最新活动中,海莲花组织开始使用公钥加密来交换AES会话密钥,用于加密进一步的通信,从而防止安全产品拦截最终的payload。他们还从HTTP切换到WebSocket以隐藏他们的恶意通信。


本次入侵的网站中,主要目的很明显,排除异己和外患,集中在柬埔寨官方(mod.gov.KH)和越南反对派媒体(thongtinchongphandong.com),越南宗教这类网站。(原文有网站列表)

除了攻陷目标经常访问的网站外,海莲花组织还攻陷了一些流量很大的网站,例如越南当地的报社网站。

被入侵的网站中仍然有许多网站未修复,可以赶紧去喝点菜汤


分析

所有被攻陷网站的运作方式类似。

攻击者在索引页面或同一服务器上托管的JavaScript文件中添加一小段JavaScript代码。

然后从攻击者控制的服务器加载另一个脚本。以下代码添加在

https://www.mfaic.gov[.]kh/wp-content/themes/ministry-of-foreign-affair/slick/slick.min.js

将从这里加载文件

https://weblink.selfip[.]info/images/cdn.js?from=maxcdn

为了逃避检测,他们使用了以下方法

1、他们对脚本进行了模糊处理,以防止静态提取最终的URL。

2、该URL看起来像是网站使用的真实JavaScript库。

3、他们在每个受到破坏的网站上使用一个不同的域名和URI。

4、每个受到破坏的网站的脚本都不同。以下代码是插入另一个受感染网站的脚本:

第一阶段:

        根据访问者IP地址的位置,第一阶段服务器的提供诱饵脚本(随机合法JavaScript库),而并非所有服务器在第一阶段都有位置检查,但启用后,只有来自越南和柬埔寨的访客才会收到恶意脚本。

        该脚本将一直等到受害者在页面上滚动。它还会检查窗口的分辨率以及是否启用Firebug(用于分析网页的浏览器扩展)。如果其中一个检查失败,则会停止执行。

        然后,它使用自定义算法解密C&C地址。

        解密C&C地址后,脚本会发送一个15位数的唯一字符串,然后接收并执行第二阶段脚本。所有通信都通过SSL上的WebSocket执行。该协议允许客户端和服务器之间的双向通信。这意味着,一旦客户端建立连接,即使客户端没有发送请求,服务器也可以向客户端发送数据。但是,在这种特殊情况下,使用WebSocket的主要目的似乎是逃避检测。

第二阶段:

        第二阶段的脚本功能为侦察用,具体使用了fingerprintjs2库进行了修改。

该阶段所有的通信都使用由服务器生成的AES会话密钥进行加密。它使用RSA 1024位公钥加密并发送到客户端。因此,不可能解密客户端和服务器之间的通信。服务器发送的公钥始终相同

生成侦察报告如下,和去年的行动中生成的报告类似,并且有独特的拼写错误

        生成的报告包含有关受害者浏览器和访问过的网站的详细信息:用户代理,HTTP Referer,本地和外部IP地址,浏览器插入浏览器配置的语言首选项。

        此外,每台计算机有两个唯一标识符,称为client_zuuid和client_uuid。它们可能用于识别用户并在访问期间跟踪他们。这些标识符实际上已经存在于2017版本的框架中,client_uuid以类似的方式计算。

        所述client_zuuid是包含在navigator.mediaDevices.enumerateDevices不同设备ID值的串接。设备是浏览器可访问的外部设备,例如相机或麦克风。因此,对于给定用户在来自同一计算机的不同访问期间,该值应该是相同的。

        所述client_uuid是由fingerprintjs2提取一些指纹信息的MD5哈希值。收集的信息包括浏览器用户代理,语言,时区,浏览器插件以及浏览器中可用的字体。同样,此值在访问期间应相同,除非用户更新浏览器或使用其他设备。

        最后,服务器可以向受害计算机发送额外的JavaScript代码,目前没有收到payload。也许是由于payload仅传递给特定目标。

        应该和之前一样,显示用户弹出窗口,要求批准OAuth访问受害者的Google帐户以访问OceanLotus Google App。使用此技术,攻击者可以访问受害者的联系人和电子邮件,还有下载更新程序这一类,去年的报告已经写的很清楚了。

ioc见下面

相关链接:

https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/

ioc:

https://github.com/eset/malware-ioc/tree/master/oceanlotus

二、

俄罗斯APT28(Sofacy)继续全球攻击并推出新的’Cannon’木马

        本次鱼叉攻击的恶意宏文档,其文件名为崩溃列表(Lion Air Boeing 737).docx,使用作者姓名Joohn。

        该文件针对处理欧洲外交事务的政府组织。

        一旦用户尝试打开文档,Microsoft Word会立即尝试从DOCX文档的settings.xml.rels文件中指定的位置加载包含恶意宏和有效负载的远程模板

        最后释放的payload是一个全新的工具,payload将其命名为Cannon。

        该工具是用C#编写的,其恶意代码存在于名为cannon的命名空间中。

        该木马主要用作下载程序,通过电子邮件在与C2进行通信。通过TCP端口587向特定电子邮件地址发送电子邮件。

        Cannon的特定功能如下表。

下图详细说明了CANNON如何通过邮件去获取最终payload,这熊真tm可爱

针对样本的详细分析在原文附录了,看来平底锅很懂用户心思:基本对具体分析兴致不大,展示攻击手法为主。

相关链接:

https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/

三、

疑似俄罗斯国家队APT29的网络钓鱼活动, lnk文件钓鱼攻击

也就是我之前公众号说的那个通过美国国务院邮箱钓鱼的新闻

每封邮件都有一个链接,其中UID可能用于跟踪受害者是否点击

已知恶意链接提供了ds7002.zip文件的两种变体。第一个变体有ds7002.lnk。ds7002.lnk是一个恶意快捷方式(LNK)文件,其中包含嵌入式BEACON DLL和诱饵PDF,并且精心设计用于启动PowerShell命令。执行时,PowerShell命令提取并执行Cobalt Strike BEACON后门和诱饵PDF。

另一个观察到的ds7002.zip变体仅包含诱饵文件。

剩下的关联分析和溯源见原文。

相关链接:

https://www.fireeye.com/blog/threat-research/2018/11/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign.html

四、

lazarus组织继续抢劫,对拉丁美洲的金融组织发起攻击

这里抢劫的是其旗下组织Bluenoroff

本次攻击中该组织成功将后门植入了拉丁美洲的几家金融机构

该事件与针对台湾的攻击事件较为相似(https://baesystemsai.blogspot.com/2017/10/taiwan-heist-lazarus-tools.html)

具体事件比较如下

其模块化后门加载顺序如下

相关链接:

https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-continues-heists-mounts-attacks-on-financial-organizations-in-latin-america/

还在犹豫什么,现在入圈即享受最低价,黑色星期五那天将上调10块,还在等什么,赶紧行动吧!


本文源自微信公众号:黑鸟

人已赞赏
安全工具

APT组织RANCOR最新活动分析,PLAINTEE&DDKONG

2019-10-16 10:37:18

安全工具

喜剧演员喜提乌克兰总统宝座,深藏错综复杂的关系

2019-10-16 10:37:26

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索