安基网 首页 资讯 安全报 查看内容

越南黑客组织“海莲花”被指针对东南亚发起新一轮水坑攻击

2018-11-27 08:22| 投稿: lofor |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 据外媒报道,世界知名计算机安全软件公司ESET的研究人员在最近发现了一系列针对东南亚多家网站的水坑攻击活动。有迹象表明,这些攻击活动自今年9月份以来就一直处于活跃状态。ESET的研究人员表示,这些攻击活动之所 ...

据外媒报道,世界知名计算机安全软件公司ESET的研究人员在最近发现了一系列针对东南亚多家网站的水坑攻击活动。有迹象表明,这些攻击活动自今年9月份以来就一直处于活跃状态。

ESET的研究人员表示,这些攻击活动之所以引起他们的注意,是因为其规模十分庞大。目前已经被确认遭到成功入侵的网站共有21家,其中一些网站对于该国来说极为重要。例如,在遭到入侵的网站中就包括了柬埔寨国防部、柬埔寨外交与国际合作部以及多家越南报刊或者博客网站。

研究人员还表示,经过深入分析之后,他们有很大的把握确认这一系列攻击活动均是由“海莲花”(OceanLotus,也称为APT32以及APT-C-00)组织实施的。OceanLotus是一个被指与越南政府有关的间谍组织,至少在2012年就已经成立,其主要目标为外国政府和持不同政见者。

以下是由ESET的研究人员确认的21家已被成功入侵网站的详细列表以及一系列攻击的地理位置分布图,每一个网站都会将受害者重定向到由攻击者控制的域名。

通常来讲,在水坑攻击中,攻击者会入侵那些潜在目标经常访问的网站。然而,在新的攻击中,“海莲花”还入侵了一些访问量较大的网站(Alexa排名见下图),并不仅仅局限于他们的直接攻击目标。例如,“海莲花”入侵了Dan Viet报刊网站(danviet[.]vn),这是越南访问量排名116位的一家网站。

根据研究人员的说法,攻击第一阶段所使用的服务器会根据访问者的IP地址来交付诱饵脚本(随机的合法JavaScript库)或者第一阶段攻击脚本(比如, 2194271C7991D60AE82436129D7F25C0A689050A。虽然并非所有服务器都会检查访问者的位置信息,但启用这一功能之后,只有来自越南和柬埔寨的访问者才会收到恶意脚本。

攻击第二阶段所使用的脚本实质上是一个侦察脚本,“海莲花”的开发人员复用了在GitHub上免费提供的fingerprintjs2库,只是稍微进行了修改,添加了网络通信及自定义报告功能。

研究人员表示,“海莲花”会定期改进他们所使用的工具集,包括水坑攻击框架以及Windows系统和macOS恶意软件。在新的攻击活动中,“海莲花”再次引入了新的混淆技术,这些技术在之前的分析报告中从未出现过。这无疑再一次给我们敲响了警钟,提醒我们应该更加密切关注这个APT组织。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

Tag标签: 黑客攻击

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人
1

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

最新

返回顶部