APT组织海莲花伪造APT29、WellMess等俄方向组织关联资产

APT 10个月前 admin
79 0 0

前言

回顾一个23年 比较缺德 比较有意思的事情,”海莲花”组织在布控的IOT设备上,除了放置自己的远控武器外,还嵌入了外连地址为“APT29”组织关联资产的外连程序,意图迷惑分析人员的溯源方向。

APT组织海莲花伪造APT29、WellMess等俄方向组织关联资产

写这篇文章时我又去看了看开源威胁情报,从微步的标签情况来看就有许多靓仔被误导了,不少关联资产一前一后的时间里被标记为两个团伙。


APT组织海莲花伪造APT29、WellMess等俄方向组织关联资产

这是我写的最短一篇公众号文章,真轻松。

背景

“海莲花”也称 “APT32” 、 “OceanLotus” 等,不同机构组织对其命名不同,据信为越南政府背景黑客组织,是目前东南亚地区最活跃的APT组织之一。23年该组织的攻击活动覆盖我国军工、学术、科技、能源、医疗、高校和政府等行业机构,攻击面覆盖暴露在互联网上的WEB应用(OA、邮服等)和物联网设备等,例如:绿盟防火墙深信服VPN等。


“APT29”也称 “Nobelium” 、 “CozyBear” ,据信为俄罗斯政府背景的APT组织。主要攻击目标覆盖欧洲、北美、亚洲等地区国家。

详情

经样本同源分析和关联资产分析确认为“海莲花”组织背景行为,提取到若干外连地址,其中除了“海莲花”组织远控武器的C&C地址外,恶意程序还主动外连了位于印度境内的IP 49.XX.XX.X5:443开放的https服务,从TLS1.2加密算法协商流程的“server hello”数据包中还原出证书。


APT组织海莲花伪造APT29、WellMess等俄方向组织关联资产


再通过证书信息扩线,同源到一批IP开放HTTPS服务并且使用该证书,其中一部分IP在22年年初被披露为“APT29”的攻击基础设施,与SolarWinds供应链攻击、TEARDROP和RAINDROP恶意软件等攻击有关。但该通讯并无实际恶意行为,说明其伪造APT29组织的关联性。


APT组织海莲花伪造APT29、WellMess等俄方向组织关联资产

APT组织海莲花伪造APT29、WellMess等俄方向组织关联资产


如果没有获取到样本,仅靠通讯流量和开源威胁情报分析,就很容易被误导。

相信有第一次就有 N++ 次,以后溯源分析还得防着这手。

玩脏的???

APT组织海莲花伪造APT29、WellMess等俄方向组织关联资产

原文始发于微信公众号(帅仔回忆录):APT组织海莲花伪造APT29、WellMess等俄方向组织关联资产

版权声明:admin 发表于 2024年1月24日 上午8:55。
转载请注明:APT组织海莲花伪造APT29、WellMess等俄方向组织关联资产 | CTF导航

相关文章