【风险预警】境外APT黑客组织“海莲花”攻击事件预警

概述

近日,我中心网络威胁数据联盟成员单位深信服科技股份有限公司”捕获并分析了一个APT样本,经过分析人员确认来自近年来频繁活跃的“海莲花”组织。

据资料显示,2012年4月,首次发现某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。经分析溯源,该组织主要通过鱼叉攻击和水坑攻等方法,配合多种社会工程学手段进行渗透,利用木马程序入侵并控制特定目标人群的终端系统,窃取相关的机密资料。根据该组织的攻击特点,将其命名为“海莲花”(OceanLotus)同时该组织也称为“APT32”以及“APT-C-00”。

危害和手段

经我中心网络威胁数据联盟长期跟踪观察,“海莲花”组织自首次发现以来,已被发现先后使用了4种不同形态的木马程序,初期的木马程序并不复杂,比较容易被发现和查杀。但近年来捕获的“海莲花”攻击样本均增加了一系列复杂的攻击技术,防护查杀的难度也呈正比增加。透过分析此次的攻击样本发现,其利用了正常软件捆绑了恶意DLL文件的方式,通过钓鱼邮件和软件下载门户进行传播,用户一旦下载并运行软件程序就会加载该恶意DLL文件,执行攻击者的恶意操作指令,控制特定目标终端系统,窃取数据。

此次捕获的样本就具备了以下特征:

•白加黑投递,利用正常软件加载恶意攻击载荷

•精确攻击,只有特定主机才能解密执行远控木马

•多重加密,在生成最终载荷前,执行了四次解密操作

执行流程图

捕获样本

APT样本包含lenovodrvtray.exe和DgBase.dll两个文件

其中lenovodrvtray.exe是带有正规数字签名的联想驱动自动安装软件

lenovodrvtray启动时会加载恶意文件DgBase.dll

载入后会从资源段中解密释放一段代码跳转执行一系列恶意行为

拥有多达80+远控指令,包含文件、注册表、进程操作等等

相关IOC

域名:bootstrap.cssracniu.com

IP:193.36.119.47

Hash:3452471158ED7E6BDE3D66141B08CEA4

应对措施

对于此次捕获的攻击样本判断近期该APT黑客组织目前已针对我国重点行业单位、机构等发起新一轮的攻击活动,各单位要尽快加强风险排查、落实安全防护工作以防范于未然:

1、及时给系统和应用打补丁,修复常见高危漏洞;

2、对于不明来源具有诱导性主题的邮件谨慎处理,切勿点击该类邮件附件,不从不明网站下载软件;

3、避免使用弱口令密码,使用大小写英文+数字+特殊符号加固密码,定期修改密码;

4、运维人员要定期查看终端日志,检查终端是否存在异常行为。

标签: