2020年12月10日,Facebook發布新聞稿稱,其封禁越南黑客組織海蓮花關聯的IT公司帳戶。
Facebook在調查中稱,海蓮花黑客組織(APT32)是總部設在越南,目標對象是越南境內和海外的越南human權活動家,寮國和柬埔寨的外國政府,非政府組織,新聞社以及許多涉及信息技術公司,酒店,農業和商品,醫院,零售,汽車工業以及帶有惡意軟體的移動服務。
Facebook將海蓮花這系列的攻擊活動與越南的IT公司CyberOne Group(也稱為CyberOne Security,CyberOne Technologies,HànhTinh Company Limited,Planet和Diacauso)聯繫在一起。
Facebook 安全策略主管 Nathaniel Gleicher 與網絡威脅情報主管 Mike Dvilyanski 表示,他們調查到了這些活動與越南 IT 企業 CyberOne Group 有關聯。
Facebook表示,他們在幾年來一直在跟蹤並採取針對該APT組織的行動。他們調查分析了許多海蓮花著名的戰術,技術和程序(TTP),包括:
社會工程學:
海蓮花組織在網際網路上創建了虛擬的人物角色,冒充活動家和商業攻擊,或者在與他們所針對的人聯繫時使用了誘惑技巧。這些角色的目的都是為了讓其在網際網路的其他服務上可以創建支撐條件,從而看起來是合法服務,其目的也是為了經受住包括安全研究人員在內的審查。他們的某些頁面目的是為了吸引特定的關注者,以為了在日後的網絡釣魚和惡意軟體提供目標定位的作用。
惡意的Google Play商店應用程式:
海蓮花誘騙目標通過Google Play商店下載Android應用程式,該應用程式具有廣泛的權限,可以廣泛監視用戶的設備。
惡意軟體傳播:
海蓮花入侵網站,並創建自己的頁面,在該頁面上加入混淆後的惡意JavaScript腳本,作為水坑攻擊中,獲取其攻擊目標瀏覽器信息的一部分。該組織構建了特定惡意軟體,該惡意軟體能夠在發送執行惡意代碼的Payload之前,檢測目標使用的作業系統類型(Windows或Mac)。
此外,海蓮花組織還使用了指向文件共享服務的連結,在這些文件中託管了惡意文件,供目標單擊和下載。最近,他們使用短連結來分發惡意軟體。最後,該組織依靠Microsoft Windows應用程式中的動態連結庫(DLL)側加載攻擊(白加黑)。他們還在exe,rar,rtf和iso格式,並提供了包含惡意連結的正常Word文檔作為釣魚的一部分。相關具體攻擊可見這:越南黑客組織海蓮花攻擊過程中進行加密貨幣挖礦
Facebook認為,海蓮花組織已經使用了他們的平臺作為活動的一部分,通過社交媒體進行分發惡意軟體的操作,為了中斷此操作,他們阻止了相關惡意域名在平臺上的發布,刪除了該組織的帳戶,並通知了他們認為成為海蓮花攻擊目標的人員。
從本案可以看出,Facebook也有自己專門的APT組織溯源分析團隊,可能具備調動Facebook的資源進行分析的能力,因此應該注意安全。
參考連結:
https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/
連結原文發布了海蓮花攻擊活動中涉及的IOC信息以及檢測可用的Yara規則
rule APT32_goopdate_installer
rule APT32_osx_backdoor_loader
除了上面越南的帳戶被禁外,一個來自孟加拉的組織帳戶也被禁,理由是因為這些組織通過入侵Facebook上與孟加拉國利益相背人員的帳戶,感興趣可以自行去原文查閱。
上期:NSA上報VMware漏洞後發文稱俄羅斯網軍正在使用