Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • APT32

APT32

Альтернативные названия: OceanLotus, APT-C-00, Cobalt Kitty, SeaLotus, Ocean Buffalo, Tin Woodlawn, SectorF01, Pond Loach
Атакуемые отрасли:
  • Военно-промышленный комплекс
  • Государственный сектор
  • Финансовый сектор
  • Промышленный сектор
  • Телекоммуникации
  • Медиа

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Кибершпионаж, получение информации, которая может предоставить политические, экономические и военные преимущества

Общее описание

APT32 — группа, активная как минимум с 2012 года. По мнению различных исследователей, действует в интересах Вьетнама, специализируется на кибершпионаже в правительственных и корпоративных сетях стран Восточной и Юго-Восточной Азии. Для начального проникновения широко используются техники watering hole, целевой фишинг и уязвимости сетевых сервисов. При проведении целевых операций используется уникальный набор вредоносного программного обеспечения в сочетании с коммерчески доступными инструментами.

Инструменты

  • Denis/Roland RAT
  • Goopy
  • KOMPROGO/Splinter RAT
  • PHOREAL/Rizzo
  • SOUNDBITE
  • WINDSHIELD/Remy RAT
  • METALJACK/denesRAT
  • Salgorea/BadCake
  • RatSnif
  • OSX_OCEANLOTUS.D
  • HiddenLotus
  • RotaJakiro
  • CamCapture Plugin
  • Cobalt Strike
  • KerrDown
  • CACTUSTORCH
  • Mimikatz
  • MSFvenom
  • DKMC
  • Veil

Атакуемые отрасли

  • Государственный сектор
  • Промышленный сектор
  • Финансовый сектор
  • Военно-промышленный комплекс
  • Медиа
  • Телекоммуникации

Атакуемые страны

  • Вьетнам
  • Германия
  • Камбоджа
  • Китай
  • Филиппины
  • Страны АСЕАН
  • США

Альтернативные названия группы

  • OceanLotus (SkyEye Labs)
  • APT-C-00 (Qihoo 360)
  • Cobalt Kitty (Cybereason)
  • SeaLotus
  • Ocean Buffalo (CrowdStrike)
  • Tin Woodlawn (SecureWorks)
  • SectorF01 (ThreatRecon)
  • Pond Loach (Accenture)

Отчеты Positive Technologies и других исследователей

  • https://blogs.360.cn/post/oceanlotus-apt.html
  • https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html
  • https://www.cybereason.com/blog/operation-cobalt-kitty-apt
  • https://www.volexity.com/blog/2017/11/06/oceanlotus-blossoms-mass-digital-surveillance-and-exploitation-of-asean-nations-the-media-human-rights-and-civil-society
  • https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf
  • https://vx-underground.org/archive/APTs/2018/2018.10.17(1)/Ocean%20Lotus%20Spy%20RATs.pdf
  • https://ti.qianxin.com/blog/articles/oceanlotus-attacks-to-indochinese-peninsula-evolution-of-targets-techniques-and-procedure
  • https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia
  • https://www.welivesecurity.com/2019/03/20/fake-or-fake-keeping-up-with-oceanlotus-decoys
  • https://www.welivesecurity.com/2019/04/09/oceanlotus-macos-malware-update
  • https://blog.telsy.com/oceanlotus-on-asean-affairs
  • https://redalert.nshc.net/2019/07/25/growth-of-sectorf01-groups-cyber-espionage-activities
  • https://www.accenture.com/_acnmedia/Accenture/Conversion-Assets/Blogs/Documents/1/Accenture-POND-LOACH-Actors-Continue-Development-BADCAKE-Malware-12-2019.pdf
  • https://www.accenture.com/_acnmedia/Accenture/Conversion-Assets/Blogs/Documents/1/Accenture-POND-LOACH-Actors-Continue-Development-BADCAKE-Malware-12-2019.pdf
  • https://www.recordedfuture.com/apt32-malware-campaign/
  • https://www.volexity.com/blog/2020/11/06/oceanlotus-extending-cyber-espionage-operations-through-fake-websites/
  • https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html
  • https://labs.sentinelone.com/apt32-multi-stage-macos-trojan-innovates-on-crimeware-scripting-technique
  • https://blog.netlab.360.com/rotajakiro_linux_version_of_oceanlotus

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Reconnaissance
T1589.002 Gather Victim Identity Information: Email Addresses Группа APT32 собирала электронные адреса для последующей рассылки фишинговых писем
T1598.003 Phishing for Information: Spearphishing Link Группа APT32 использовала вредоносные ссылки, перенаправляя пользователя на подконтрольные веб-сайты для получения учетных данных
Resource Development
T1583.006 Acquire Infrastructure: Web Services Группа APT32 использовала сервисы Dropbox, Amazon S3, Google Drive для загрузки ВПО
T1583.001 Acquire Infrastructure: Domains Группа APT32 разработала ряд поддельных новостных веб-сайтов на вьетнамском языке, которые используются для сбора информации о пользователях и загрузки ВПО
T1585.001 Establish Accounts: Social Media Accounts Для поддельных веб-сайтов группа APT32 использовала аккаунты в социальной сети Facebook
Initial Access
T1189 Drive-by Compromise Группа APT32 широко использовала стратегию компрометации веб-сайтов с целью последующего заражения своих жертв путем загрузки ВПО, замаскированного под файлы обновлений (watering hole attacks)
T1566.002 Spearphishing Link Группа APT32 рассылала фишинговые письма с вредоносными ссылками
T1566.001 Spear-phishing Attachment Группа APT32 рассылала фишинговые письма с вредоносными вложениями Microsoft Office
Execution
T1204.001 User Execution: Malicious Link Группа APT32 пыталась заставить пользователей перейти по вредоносной ссылке в фишинговом письме для загрузки вредоносного файла
T1204.002 User Execution: Malicious File Группа APT32 пыталась заставить пользователей запустить вредоносные вложения, доставляемые по электронной почте
T1059.001 Command and Scripting Interpreter: PowerShell Группа APT32 использовала powershell-скрипты на разных этапах атаки
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа APT32 использовала в атаках интерфейс командной строки Windows
T1059.005 Command and Scripting Interpreter: Visual Basic Группа APT32 использовала документы с VBA-макросами
T1059.007 Command and Scripting Interpreter: JavaScript Группа APT32 использовала на подконтрольных веб-сайтах скрипты для наблюдения за пользователями и в фишинговых атаках, маскируясь под обновления ПО
T1569.002 System Services: Service Execution ВПО группы создает новую службу на зараженном компьютере для выполнения полезной нагрузки
T1203 Exploitation for Client Execution Группа APT32 рассылала RTF-документы с эксплойтом уязвимости CVE-2017-11882
T1047 Windows Management Instrumentation Группа APT32 устанавливала бэкдор Denis, который использует WMI для распространения по локальной сети и сбора данных о процесcах
Persistence
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа APT32 создавала ключ автозагрузки в реестре для закрепления в зараженной системе
T1053.005 Scheduled Task/Job: Scheduled Task Группа APT32 использовала планировщик задач для закрепления в зараженной системе
T1543.003 Create or Modify System Process: Windows Service Группа APT32 создавала новые сервисы для закрепления в зараженной системе
T1137 Office Application Startup Группа APT32 использовала макрос Microsoft Outlook для закрепления в зараженной системе и взаимодействия с С2-сервером
T1574.002 Hijack Execution Flow: DLL Side-Loading Группа APT32 использовала легитимное ПО (например, AcroTranscoder.exe), уязвимое к DLL Side-Loading, для исполнения вредоносного кода
T1505.003 Server Software Component: Web Shell Группа APT32 использовала веб-шеллы для закрепления на подконтрольных веб-сайтах
Privilege Escalation
T1068 Exploitation for Privilege Escalation Группа APT32 использовала уязвимость CVE-2016-7255 для повышения привилегий
T1078.003 Valid Accounts: Local Accounts Группа APT32 использовала скомпрометированные учетные данные для входа в систему и повышения привилегий
Defense evasion
T1222.002 Linux and Mac File and Directory Permissions Modification На разных этапах атаки файлам устанавливались права на исполнение (+x)
T1027 Obfuscated Files or Information Группа APT32 использовала различные обфускаторы для ВПО, например "Dont-Kill-My-Cat (DKMC)", "Invoke-Obfuscation"
T1027.001 Obfuscated Files or Information: Binary Padding Группа APT32 использовала «мусорный» код для усложнения анализа антивирусным ПО и исследователям
T1036.003 Rename System Utilities Группа APT32 использовала ВПО, которое копирует и переименовывает системные утилиты во избежание обнаружения их использования
T1036.004 Masquerading: Masquerade Task or Service Группа APT32 использовала специальные символы для маскировки под легальные службы ОС
T1036.005 Masquerading: Match Legitimate Name or Location Группа APT32 маскировала ВПО под легальные программы (например, обновление Windows) и документы Microsoft Office
T1070.001 Indicator Removal on Host: Clear Windows Event Logs Группа APT32 скрывала следы активности на зараженном компьютере путем удаления событий из системных журналов
T1070.004 Indicator Removal on Host: File Deletion Группа APT32 удаляла файлы со скомпрометированной системы после выполнения полезной нагрузки
T1070.006 Indicator Removal on Host: Timestomp Группа APT32 изменяла дату и время создания и доступа к файлам
T1055 Process Injection Группа APT32 использовала ВПО, которое инжектирует в процесс rundll32.exe полезную нагрузку Cobalt Strike
T1564.001 Hide Artifacts: Hidden Files and Directories Группа APT32 использовала бэкдор в MacOS, который изменяет атрибуты файлов на «скрытый» при помощи системного вызова chflags
T1564.003 Hide Artifacts: Hidden Window Группа APT32 использовала параметр WindowStyle для скрытия PowerShell-окон
T1564.004 Hide Artifacts: NTFS File Attributes Группа APT32 использовала альтернативные потоки файловой системы NTFS для скрытия полезных нагрузок
T1112 Modify Registry Группа APT32 хранила конфигурацию ВПО в реестре Windows
T1216.001 Signed Script Proxy Execution: PubPrn Группа APT32 использовала подписанный скрипт PubPrn.vbs для запуска ВПО
T1218.005 Signed Binary Proxy Execution: Mshta Группа APT32 использовала Mshta.exe для загрузки и исполнения ВПО
T1218.010 Signed Binary Proxy Execution: Regsvr32 Группа APT32 использовала Regsvr32.exe для загрузки и исполнения ВПО
T1218.011 Signed Binary Proxy Execution: Rundll32 Группа APT32 использовала Rundll32.exe для загрузки и исполнения ВПО
Credential Access
T1003.001 OS Credential Dumping: LSASS Memory Группа APT32 использовала Mimikatz для сбора учетных записей
T1056.001 Input Capture: Keylogging Группа APT32 контролировала смену пароля администратора домена, перехватывая функцию PasswordChangeNotify в библиотеке rassfm.dll
T1552.002 Unsecured Credentials: Credentials in Registry Группа APT32 получала учетные данные Microsoft Outlook, хранящиеся в реестре
Discovery
T1082 System Information Discovery Группа APT32 получала версию ОС, имя компьютера и другую информацию с зараженных ПК
T1012 Query Registry Группа APT32 получала информацию об операционной системе из реестра Windows
T1087.001 Account Discovery: Local Account Группа APT32 собирала информацию о пользователях (команды net user/localgroup)
T1087.002 Account Discovery: Domain Account Группа APT32 собирала информацию о пользователях домена (команды net user/group)
T1083 File and Directory Discovery Группа APT32 использовала стандартные команды интерпретатора cmd.exe для получения списка папок и файлов на зараженном ПК
T1046 Network Service Scanning Группа APT32 использовала стандартные утилиты для сканирования локальной сети
T1135 Network Share Discovery Группа APT32 использовала команду net view для разведки внутри локальной сети
T1018 Remote System Discovery Группа APT32 собирала информацию о контроллерах домена (net group "Domain Controllers" /domain)
T1016 System Network Configuration Discovery Группа APT32 собирала информацию о сетевых параметрах зараженного компьютера (ipconfig /all)
T1049 System Network Connections Discovery Группа APT32 собирала информацию о сетевых соединениях зараженного компьютера (netstat -anpo tcp)
T1033 System Owner/User Discovery Группа APT32 собирала информацию о пользователях скомпрометированного компьютера (whoami)
Lateral Movement
T1550.002 Use Alternate Authentication Material: Pass the Hash Группа APT32 использовала атаку Pass the Hash для продвижения внутри сети
T1550.003 Use Alternate Authentication Material: Pass the Ticket Группа APT32 использовала атаку Pass the Ticket для продвижения внутри сети
T1072 Software Deployment Tools Группа APT32 использовала скомпрометированный сервер McAfee ePolicy Orchestrator для доставки ВПО
T1570 Lateral Tool Transfer Группа APT32 использовала скомпрометированную учетную запись администратора домена для массового заражения ПК внутри сети
T1021.002 Remote Services: SMB/Windows Admin Shares Группа APT32 использовала net.exe для копирования ВПО на удаленные ПК
Collection
T1560 Archive Collected Data Группа APT32 использовала алгоритмы LZMA для сжатия и RC4 для шифрования перед отправкой полученных данных
Command And Control
T1071.001 Application Layer Protocol: Web Protocols Группа APT32 использовала стандартные протоколы для соединения с С2-сервером: HTTP и HTTPS
T1071.003 Application Layer Protocol: Mail Protocols Группа APT32 использовала протокол SMTP для соединения с С2-сервером в макросах документов Microsoft Office
T1571 Non-Standard Port Группа APT32 использовала нестандартные порты для соединения с С2-сервером
T1105 Ingress Tool Transfer Группа APT32 добавляла на подконтрольные веб-сайты скрипты отслеживания действий пользователей
T1102 Web Service Группа APT32 использовала облачные хранилища (Dropbox, Google Drives) для загрузки вредоносных файлов
Exfiltration
T1041 Exfiltration Over C2 Channel Группа APT32 передавала собранные данные на С2-сервер
T1048.003 Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol Группа APT32 передавала закодированные данные в DNS-пакетах в поле «cубдомен»

Группировки, атакующие такие же отрасли:

  • APT31
  • Bronze Union
  • Calypso
  • ChamelGang
  • Cobalt
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта