欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“海莲花”APT团伙的行动新趋向

来源:本站整理 作者:佚名 时间:2017-09-05 TAG: 我要投稿

前天友商宣布了一个对于海莲花APT团伙的新行动的研究报告,揭穿了一些新发觉的样本和基础设施,本文供给一些360威逼谍报中间视线内的信息来组成更大的拼图。
汗青
自从2015年5月360威逼谍报中间初次宣布揭穿海莲花APT团伙申报以来,咱们不停连续存眷着此团伙的运动,团伙只是在申报宣布今后沉静过一小段光阴,尔后从来就没结束过运动,力度乃至跨越以往。2016年6月,360威逼谍报中间宣布过又一篇跟踪阐发:《海莲花重出水面》,介绍了联合终端和收集数据所监测到的更全面的进击运动细节,概况能够参看链接:
https://ti.360.net/blog/articles/resurface-of-oceanlotus/
进击运动能够简要以以下图来演绎:

其时运动相干的TTP描写以下:

近况
2017年7月360威逼谍报中间截获并阐发了多个海莲花团伙的新样本及对应的通讯基础设施,相干的信息在威逼谍报中间的数据平台上能够看到而且曾经推送到天眼未知威逼检测体系及NGSOC的新版本中,用户假如查问到相干的IOC元素则能够立刻看到平台输入的标签信息。

威逼谍报中间发明的相干多个样本和IP/域名等基础设施:

收集层的IOC方面重要触及以下几个在2017年4月3日会合注册的域名(同天注册似乎是海莲花团伙的操纵常规,乃至能够作为辨认团伙的特性之一)。
域名为:
engine.lanaurmi.com
movies.onaldest.com
images.andychroeder.com
png.eirahrlichmann.com
基于样本及其余数据源的获得的其余范例IOC见IOC节,相干的技巧阐发能够会输入零丁的申报。
变更
基于对样本及更多其余起源数据的整合阐发和汗青运动的历久跟踪,咱们发明海莲花团伙运动的一些变更,值得在此分享给平安社区:
1.   进击所使用的木马后门对象更繁杂反抗更强。360威逼谍报中间阐发了若干个除Cobalt Strike组件之外的自研木马代码,发明其加倍普各处采用了白法式应用联合Shellcode的方法来绕过防病毒体系的检测,为了反抗人工阐发歹意代码做了深度混杂。这个变更表现了团伙在技巧才能上有了进一步地晋升,使咱们的阐发事情必要更先辈的对象,投入更多人力。
2.   与去年相比,海莲花团伙的进击运动面有所收窄,但进击目的的针对性增强,鱼叉邮件的社工特性凸起,表现对进击目的的深度懂得。有用户反馈到威逼谍报中间的样本使用了以下的附件名:
invitation letter-zhejiang ***** working group.doc
星号是异常详细的目的地点构造的简称,目的人物在浙江省,以是附件名里加了zhejiang字样,表示这是完整对目的定制的Payload。这与2016年采用的广撒网式的战略完整分歧,表现了进击目的的专一度。
3.   进击所采用的收集基础设施做了更完全的断绝,使之更不容易做联系关系溯源阐发。基于以往运动的阐发,360威逼谍报中间懂得团伙所使用的IP偏心193.169.*.*网段,过往许多进击运动能够基于此异常容易地联系关系起来。今年的早先样本使用的收集基础设施与既往的没有堆叠,异常”清洁”。以往基于收集资本堆叠的联系关系阐发再也不有用,招致阐发职员必要耗费大批的人力去啃反抗增强后的样本以获得联系关系点,这些制作的费事固然不至于使联系关系事情终极停顿,但确切大大增加了资本的耗费。
4.   对以前曾经进击过的目的会结束重复进击,发送新版本的鱼叉邮件测验考试再次获得节制。咱们处置用户反馈的过程当中发明对付海莲花团伙所认定的高代价用户,体系上的歹意代码因为被揭穿而消除今后,进击团伙还会测验考试用新Payload结束进击,对付以前曾经节制的目的也会以新Payload转换节制所用的收集基础设施。
以上这些变更能够简略总结为海莲花团伙的技巧程度在晋升,与此同时进击加倍专一也更留意暗藏本身。
IOC
域名
阐明
engine.lanaurmi.com
C&C
movies.onaldest.com
C&C
images.andychroeder.com
C&C
png.eirahrlichmann.com
C&C
store.shoesadidas.net
C&C
URL
 
http://store.shoesadidas.net:80/newmodel.png
今朝还处于运动状况
文件HASH
 
bc1ccc120d185a0c36b191ec6b74397c
GoogleUpdateSetup.exe
42123d2493598c9ac9803fe1b92ed032
Google Update Setup
3b53e66f34beb3cd30e6a7da457e86c8
KoreanTimesSSK.ttf
3bd041ef488806c55fbc40b4af24eabb
 
46745e29f15eedfabba7e080f6295200
 
d1e614479fee318904442c16c5ef4877
hgfs.dll
1f8ade068ba6fbfe8605e0946bf2d79f
ep7res01.dll
c117ea93410ad849e7a3ff9293bcd9ab
hp6000.dll

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载