全球顶级黑客组织巡礼——越南“海莲花”的新秘密武器

顶级威胁组织——越南“海莲花”

早在2017年11月，网络威胁响应公司 Volexity 就发表了一份安全报告，宣称越南黑客组织“海莲花”已然成为当今威胁领域中“最先进”的网络犯罪团伙之一，自2012年以来一直处于活跃状态，其主要针对越南境内多家行业机构、境外组织、政客与记者展开大规模网络间谍活动，疑似越南政府背景。

据信，“海莲花”是一个拥有先进技术的威胁团体，一直致力于为越南政府牟利的间谍活动，该组织也被称为APT32、CobaltKitty、SeaLotus和APT-C-00。该组织近年来因使用精心设计的黑客工具破坏在越南拥有商业利益的外国公司，特别是在制造业和酒店业，因此而臭名昭著，其常使用的恶意工具为Cobalt Strike。

据研究人员的说法，海莲花在今年2月和3月表现活跃，其目标明确——攻击跨国汽车公司以支持越南本土汽车业。

研究人员在分析了“海莲花”以往攻击活动后总结了该组织的主要攻击特点：

主要通过战略性破坏网站进行大规模数字化分析与信息收集活动；
瞄准与政府、军事、人权、公民社会组织、媒体、国家石油勘探等有关的个人与组织发动攻击；
使用白名单定位目标用户与组织；
利用自定义 Google Apps 访问受害者的 Gmail 帐户，以窃取电子邮件和联系人等敏感信息；
战略性和有针对性的修改受害网站视图，以便安装恶意软件或窃取访问者的电子邮件帐户；
大型DDoS攻击的基础架构由多家服务器托管商提供；
伪造合法在线服务与组织的域名分发恶意软件，如AddThis、Disqus、Akamai、百度、Cloudflare、Facebook、Google等；
加密目标企业SSL/TLS证书；
开发并使用多款后门软件，如Cobalt Strike等。
非典型黑客工具——Ratsnif

此次被发现使用远程访问特洛伊木马（RAT）——Ratsnif，对于研究“海莲花”组织的安全研究人员来说似乎有点意外。

BlackBerry Cylance负责欧洲、中东和亚洲地区威胁研究的主管Tom Bonner表示：海莲花使用的恶意软件中通常不存在“粗糙的代码、程序错误和调试消息”，而Ratsnif的开发人员使用了复杂且不必要的方式来为该恶意软件提供配置文件路径。“简而言之，Ratsnif并不太符合OceanLotus恶意软件中常见的高标准”。

Bonner进一步表示，这种恶意软件与以前被发现的海莲花样本之间存在差异的一个可能原因是，在此活动中使用的工具并非是由海莲花本身开发的，而是由其他组织开发的。正如恶意软件专家此前预测的那样，“海莲花不断使用不同的技术，甚至重新使用公开的漏洞利用代码。”因此，最好的解释是该组织可能无法访问Ratsnif的源代码进行特定的修改。

尽管Ratsnif的开发制造稍显粗糙，由各种开源代码拼凑而成，但仍能为黑客提供了强大的网络攻击能力，包括拦截网络流量、欺骗域名系统数据、向HTTP注入恶意攻击代码。

目前尚不清楚海莲花组织针对哪些实体部署了Ratsnif工具，以及是否成果入侵感染。