海莲花OceanLotusAPT团伙新活动通告文档信息通告-360CERT.PDF

TLP ：WHITE 海莲花 （OceanLotus ）APT 团伙新活动通告 文档信息 编号 360TI-SE-2017-0014 关键字 OceanLotus、海莲花、APT 发布日期 2017 年11 月7 日 更新日期 2017 年11 月7 日 TLP WHITE 分析团队 360 威胁情报中心、360 网络研究院、360 安全监测与响应 中心、360CERT 通告背景 2017 年11 月6 日，国外安全公司发布了一篇据称海莲花APT 团伙新活动的报告，360 威 胁情报中心对其进行了分析和影响面评估，提供处置建议。 事件概要 攻击目标 亚洲国家、东盟组织、媒体以及人权组织等 攻击目的 收集受害者信息，通过钓鱼页面等方式获取受害者邮箱账号并执行进一 步的攻击 主要风险 敏感账号信息泄露 攻击入口 攻击者入侵合法网站嵌入JavaScript 并通过钓鱼页面获取邮箱账号，定 向攻击 使用漏洞 无 通信控制 使用Web HTTP/DNS 隧道进行数据和控制通信 抗检测能力 中 受影响应用 主机操作系统 已知影响 目前确认国内部分机构、公司的网站已经受到攻击，其用户有可能被窃 TLP ：WHITE 取敏感账号信息或植入恶意代码 分析摘要： 1. 攻击者入侵目标经常浏览的合法网站并嵌入恶意 JavaScript 脚  战术 本，用以收集目标的信息，然后制作钓鱼页面诱骗目标输入账号  技术 密码登录，属于典型的水坑攻击，投放有定向性。  过程 2. 攻击团伙把服务器下载的木马伪装成firefox 的安装程序，启动后 利用白加灰加黑的技术执行 shellcode，shellocde 中再执行主要 恶意功能，通过DNS 隧道传输数据。 事件描述 2017 年11 月6 日，国外安全公司Volexity 发布了一篇关于疑似海莲花APT 团伙新活动的 报告，该报告指出攻击团伙攻击了与政府、军事、人权、民主、媒体和国家石油勘探等有关 的个人和组织的100 多个网站。通过针对性的JavaScript 脚本进行信息收集，修改网页视 图，配合社会工程学诱导受害人点击安装恶意软件或者登陆钓鱼页面，以进行下一步的攻击 渗透。 事件时间线 2017 年11 月6 日Volexity 公司发布了据称海莲花新活动的报告。 2017 年11 月7 日360 威胁情报中心发现确认部分攻击并作出响应。 影响面和危害分析 攻击者团伙入侵目标用户可能访问的网站，不仅破坏网站的安全性，还会收集所访问用户的 系统信息。如果确认感兴趣的目标，则会执行进一步的钓鱼攻击获取敏感账号信息或尝试植 入恶意程序进行秘密控制。 目前360 威胁情报中心确认部分网站受到了影响，用户特别是政府及大企业有必要结合附 件提供的IOC 信息对自身系统进行检查处理。 TLP ：WHITE 处置建议 1. 网站管理员检查自己网站页面是否被植入了恶意链接，如发现，清理被控制的网站中嵌 入的恶意代码，并排查内部网络的用户是否被植入了恶意程序。 2. 电脑安装防病毒安全软件，确认规则升级到最新。 技术分析 通过水坑攻击将恶意 JavaScript 代码植入到合法网站，收集用户浏览器指纹信息，修改网 页视图诱骗用户登陆钓鱼页面、安装下载恶意软件