Содержание
Цели:
- Кибершпионаж, получение информации, которая может предоставить политические, экономические и военные преимущества
Общее описание
APT32 — группа, активная как минимум с 2012 года. По мнению различных исследователей, действует в интересах Вьетнама, специализируется на кибершпионаже в правительственных и корпоративных сетях стран Восточной и Юго-Восточной Азии. Для начального проникновения широко используются техники watering hole, целевой фишинг и уязвимости сетевых сервисов. При проведении целевых операций используется уникальный набор вредоносного программного обеспечения в сочетании с коммерчески доступными инструментами.
Инструменты
- Denis/Roland RAT
- Goopy
- KOMPROGO/Splinter RAT
- PHOREAL/Rizzo
- SOUNDBITE
- WINDSHIELD/Remy RAT
- METALJACK/denesRAT
- Salgorea/BadCake
- RatSnif
- OSX_OCEANLOTUS.D
- HiddenLotus
- RotaJakiro
- CamCapture Plugin
- Cobalt Strike
- KerrDown
- CACTUSTORCH
- Mimikatz
- MSFvenom
- DKMC
- Veil
Атакуемые отрасли
- Государственный сектор
- Промышленный сектор
- Финансовый сектор
- Военно-промышленный комплекс
- Медиа
- Телекоммуникации
Атакуемые страны
- Вьетнам
- Германия
- Камбоджа
- Китай
- Филиппины
- Страны АСЕАН
- США
Альтернативные названия группы
- OceanLotus (SkyEye Labs)
- APT-C-00 (Qihoo 360)
- Cobalt Kitty (Cybereason)
- SeaLotus
- Ocean Buffalo (CrowdStrike)
- Tin Woodlawn (SecureWorks)
- SectorF01 (ThreatRecon)
- Pond Loach (Accenture)
Отчеты Positive Technologies и других исследователей
- https://blogs.360.cn/post/oceanlotus-apt.html
- https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html
- https://www.cybereason.com/blog/operation-cobalt-kitty-apt
- https://www.volexity.com/blog/2017/11/06/oceanlotus-blossoms-mass-digital-surveillance-and-exploitation-of-asean-nations-the-media-human-rights-and-civil-society
- https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf
- https://vx-underground.org/archive/APTs/2018/2018.10.17(1)/Ocean%20Lotus%20Spy%20RATs.pdf
- https://ti.qianxin.com/blog/articles/oceanlotus-attacks-to-indochinese-peninsula-evolution-of-targets-techniques-and-procedure
- https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia
- https://www.welivesecurity.com/2019/03/20/fake-or-fake-keeping-up-with-oceanlotus-decoys
- https://www.welivesecurity.com/2019/04/09/oceanlotus-macos-malware-update
- https://blog.telsy.com/oceanlotus-on-asean-affairs
- https://redalert.nshc.net/2019/07/25/growth-of-sectorf01-groups-cyber-espionage-activities
- https://www.accenture.com/_acnmedia/Accenture/Conversion-Assets/Blogs/Documents/1/Accenture-POND-LOACH-Actors-Continue-Development-BADCAKE-Malware-12-2019.pdf
- https://www.accenture.com/_acnmedia/Accenture/Conversion-Assets/Blogs/Documents/1/Accenture-POND-LOACH-Actors-Continue-Development-BADCAKE-Malware-12-2019.pdf
- https://www.recordedfuture.com/apt32-malware-campaign/
- https://www.volexity.com/blog/2020/11/06/oceanlotus-extending-cyber-espionage-operations-through-fake-websites/
- https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html
- https://labs.sentinelone.com/apt32-multi-stage-macos-trojan-innovates-on-crimeware-scripting-technique
- https://blog.netlab.360.com/rotajakiro_linux_version_of_oceanlotus
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Reconnaissance | ||
| T1589.002 | Gather Victim Identity Information: Email Addresses | Группа APT32 собирала электронные адреса для последующей рассылки фишинговых писем |
| T1598.003 | Phishing for Information: Spearphishing Link | Группа APT32 использовала вредоносные ссылки, перенаправляя пользователя на подконтрольные веб-сайты для получения учетных данных |
| Resource Development | ||
| T1583.006 | Acquire Infrastructure: Web Services | Группа APT32 использовала сервисы Dropbox, Amazon S3, Google Drive для загрузки ВПО |
| T1583.001 | Acquire Infrastructure: Domains | Группа APT32 разработала ряд поддельных новостных веб-сайтов на вьетнамском языке, которые используются для сбора информации о пользователях и загрузки ВПО |
| T1585.001 | Establish Accounts: Social Media Accounts | Для поддельных веб-сайтов группа APT32 использовала аккаунты в социальной сети Facebook |
| Initial Access | ||
| T1189 | Drive-by Compromise | Группа APT32 широко использовала стратегию компрометации веб-сайтов с целью последующего заражения своих жертв путем загрузки ВПО, замаскированного под файлы обновлений (watering hole attacks) |
| T1566.002 | Spearphishing Link | Группа APT32 рассылала фишинговые письма с вредоносными ссылками |
| T1566.001 | Spear-phishing Attachment | Группа APT32 рассылала фишинговые письма с вредоносными вложениями Microsoft Office |
| Execution | ||
| T1204.001 | User Execution: Malicious Link | Группа APT32 пыталась заставить пользователей перейти по вредоносной ссылке в фишинговом письме для загрузки вредоносного файла |
| T1204.002 | User Execution: Malicious File | Группа APT32 пыталась заставить пользователей запустить вредоносные вложения, доставляемые по электронной почте |
| T1059.001 | Command and Scripting Interpreter: PowerShell | Группа APT32 использовала powershell-скрипты на разных этапах атаки |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа APT32 использовала в атаках интерфейс командной строки Windows |
| T1059.005 | Command and Scripting Interpreter: Visual Basic | Группа APT32 использовала документы с VBA-макросами |
| T1059.007 | Command and Scripting Interpreter: JavaScript | Группа APT32 использовала на подконтрольных веб-сайтах скрипты для наблюдения за пользователями и в фишинговых атаках, маскируясь под обновления ПО |
| T1569.002 | System Services: Service Execution | ВПО группы создает новую службу на зараженном компьютере для выполнения полезной нагрузки |
| T1203 | Exploitation for Client Execution | Группа APT32 рассылала RTF-документы с эксплойтом уязвимости CVE-2017-11882 |
| T1047 | Windows Management Instrumentation | Группа APT32 устанавливала бэкдор Denis, который использует WMI для распространения по локальной сети и сбора данных о процесcах |
| Persistence | ||
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа APT32 создавала ключ автозагрузки в реестре для закрепления в зараженной системе |
| T1053.005 | Scheduled Task/Job: Scheduled Task | Группа APT32 использовала планировщик задач для закрепления в зараженной системе |
| T1543.003 | Create or Modify System Process: Windows Service | Группа APT32 создавала новые сервисы для закрепления в зараженной системе |
| T1137 | Office Application Startup | Группа APT32 использовала макрос Microsoft Outlook для закрепления в зараженной системе и взаимодействия с С2-сервером |
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | Группа APT32 использовала легитимное ПО (например, AcroTranscoder.exe), уязвимое к DLL Side-Loading, для исполнения вредоносного кода |
| T1505.003 | Server Software Component: Web Shell | Группа APT32 использовала веб-шеллы для закрепления на подконтрольных веб-сайтах |
| Privilege Escalation | ||
| T1068 | Exploitation for Privilege Escalation | Группа APT32 использовала уязвимость CVE-2016-7255 для повышения привилегий |
| T1078.003 | Valid Accounts: Local Accounts | Группа APT32 использовала скомпрометированные учетные данные для входа в систему и повышения привилегий |
| Defense evasion | ||
| T1222.002 | Linux and Mac File and Directory Permissions Modification | На разных этапах атаки файлам устанавливались права на исполнение (+x) |
| T1027 | Obfuscated Files or Information | Группа APT32 использовала различные обфускаторы для ВПО, например "Dont-Kill-My-Cat (DKMC)", "Invoke-Obfuscation" |
| T1027.001 | Obfuscated Files or Information: Binary Padding | Группа APT32 использовала «мусорный» код для усложнения анализа антивирусным ПО и исследователям |
| T1036.003 | Rename System Utilities | Группа APT32 использовала ВПО, которое копирует и переименовывает системные утилиты во избежание обнаружения их использования |
| T1036.004 | Masquerading: Masquerade Task or Service | Группа APT32 использовала специальные символы для маскировки под легальные службы ОС |
| T1036.005 | Masquerading: Match Legitimate Name or Location | Группа APT32 маскировала ВПО под легальные программы (например, обновление Windows) и документы Microsoft Office |
| T1070.001 | Indicator Removal on Host: Clear Windows Event Logs | Группа APT32 скрывала следы активности на зараженном компьютере путем удаления событий из системных журналов |
| T1070.004 | Indicator Removal on Host: File Deletion | Группа APT32 удаляла файлы со скомпрометированной системы после выполнения полезной нагрузки |
| T1070.006 | Indicator Removal on Host: Timestomp | Группа APT32 изменяла дату и время создания и доступа к файлам |
| T1055 | Process Injection | Группа APT32 использовала ВПО, которое инжектирует в процесс rundll32.exe полезную нагрузку Cobalt Strike |
| T1564.001 | Hide Artifacts: Hidden Files and Directories | Группа APT32 использовала бэкдор в MacOS, который изменяет атрибуты файлов на «скрытый» при помощи системного вызова chflags |
| T1564.003 | Hide Artifacts: Hidden Window | Группа APT32 использовала параметр WindowStyle для скрытия PowerShell-окон |
| T1564.004 | Hide Artifacts: NTFS File Attributes | Группа APT32 использовала альтернативные потоки файловой системы NTFS для скрытия полезных нагрузок |
| T1112 | Modify Registry | Группа APT32 хранила конфигурацию ВПО в реестре Windows |
| T1216.001 | Signed Script Proxy Execution: PubPrn | Группа APT32 использовала подписанный скрипт PubPrn.vbs для запуска ВПО |
| T1218.005 | Signed Binary Proxy Execution: Mshta | Группа APT32 использовала Mshta.exe для загрузки и исполнения ВПО |
| T1218.010 | Signed Binary Proxy Execution: Regsvr32 | Группа APT32 использовала Regsvr32.exe для загрузки и исполнения ВПО |
| T1218.011 | Signed Binary Proxy Execution: Rundll32 | Группа APT32 использовала Rundll32.exe для загрузки и исполнения ВПО |
| Credential Access | ||
| T1003.001 | OS Credential Dumping: LSASS Memory | Группа APT32 использовала Mimikatz для сбора учетных записей |
| T1056.001 | Input Capture: Keylogging | Группа APT32 контролировала смену пароля администратора домена, перехватывая функцию PasswordChangeNotify в библиотеке rassfm.dll |
| T1552.002 | Unsecured Credentials: Credentials in Registry | Группа APT32 получала учетные данные Microsoft Outlook, хранящиеся в реестре |
| Discovery | ||
| T1082 | System Information Discovery | Группа APT32 получала версию ОС, имя компьютера и другую информацию с зараженных ПК |
| T1012 | Query Registry | Группа APT32 получала информацию об операционной системе из реестра Windows |
| T1087.001 | Account Discovery: Local Account | Группа APT32 собирала информацию о пользователях (команды net user/localgroup) |
| T1087.002 | Account Discovery: Domain Account | Группа APT32 собирала информацию о пользователях домена (команды net user/group) |
| T1083 | File and Directory Discovery | Группа APT32 использовала стандартные команды интерпретатора cmd.exe для получения списка папок и файлов на зараженном ПК |
| T1046 | Network Service Scanning | Группа APT32 использовала стандартные утилиты для сканирования локальной сети |
| T1135 | Network Share Discovery | Группа APT32 использовала команду net view для разведки внутри локальной сети |
| T1018 | Remote System Discovery | Группа APT32 собирала информацию о контроллерах домена (net group "Domain Controllers" /domain) |
| T1016 | System Network Configuration Discovery | Группа APT32 собирала информацию о сетевых параметрах зараженного компьютера (ipconfig /all) |
| T1049 | System Network Connections Discovery | Группа APT32 собирала информацию о сетевых соединениях зараженного компьютера (netstat -anpo tcp) |
| T1033 | System Owner/User Discovery | Группа APT32 собирала информацию о пользователях скомпрометированного компьютера (whoami) |
| Lateral Movement | ||
| T1550.002 | Use Alternate Authentication Material: Pass the Hash | Группа APT32 использовала атаку Pass the Hash для продвижения внутри сети |
| T1550.003 | Use Alternate Authentication Material: Pass the Ticket | Группа APT32 использовала атаку Pass the Ticket для продвижения внутри сети |
| T1072 | Software Deployment Tools | Группа APT32 использовала скомпрометированный сервер McAfee ePolicy Orchestrator для доставки ВПО |
| T1570 | Lateral Tool Transfer | Группа APT32 использовала скомпрометированную учетную запись администратора домена для массового заражения ПК внутри сети |
| T1021.002 | Remote Services: SMB/Windows Admin Shares | Группа APT32 использовала net.exe для копирования ВПО на удаленные ПК |
| Collection | ||
| T1560 | Archive Collected Data | Группа APT32 использовала алгоритмы LZMA для сжатия и RC4 для шифрования перед отправкой полученных данных |
| Command And Control | ||
| T1071.001 | Application Layer Protocol: Web Protocols | Группа APT32 использовала стандартные протоколы для соединения с С2-сервером: HTTP и HTTPS |
| T1071.003 | Application Layer Protocol: Mail Protocols | Группа APT32 использовала протокол SMTP для соединения с С2-сервером в макросах документов Microsoft Office |
| T1571 | Non-Standard Port | Группа APT32 использовала нестандартные порты для соединения с С2-сервером |
| T1105 | Ingress Tool Transfer | Группа APT32 добавляла на подконтрольные веб-сайты скрипты отслеживания действий пользователей |
| T1102 | Web Service | Группа APT32 использовала облачные хранилища (Dropbox, Google Drives) для загрузки вредоносных файлов |
| Exfiltration | ||
| T1041 | Exfiltration Over C2 Channel | Группа APT32 передавала собранные данные на С2-сервер |
| T1048.003 | Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol | Группа APT32 передавала закодированные данные в DNS-пакетах в поле «cубдомен» |
