APT最前線：海蓮花針對東南亞發起新一輪水坑攻擊

據外媒報道，世界知名電腦保安軟體公司ESET的研究人員在最近發現了一系列針對東南亞多家網站的水坑攻擊活動。有跡象表明，這些攻擊活動自今年9月份以來就一直處於活躍狀態。

ESET的研究人員表示，這些攻擊活動之所以引起他們的注意，是因為其規模十分龐大。目前已經被確認遭到成功入侵的網站共有21家，其中一些網站對於該國來說極為重要。例如，在遭到入侵的網站中就包括了柬埔寨國防部、柬埔寨外交與國際合作部以及多家越南報刊或者部落格網站。

研究人員還表示，經過深入分析之後，他們有很大的把握確認這一系列攻擊活動均是由“海蓮花”（OceanLotus，也稱為APT32以及APT-C-00）組織實施的。OceanLotus是一個被指與越南政府有關的間諜組織，至少在2012年就已經成立，其主要目標為外國政府和持不同政見者。

以下是由ESET的研究人員確認的21家已被成功入侵網站的詳細列表以及一系列攻擊的地理位置分佈圖，每一個網站都會將受害者重定向到由攻擊者控制的域名。

通常來講，在水坑攻擊中，攻擊者會入侵那些潛在目標經常訪問的網站。然而，在新的攻擊中，“海蓮花”還入侵了一些訪問量較大的網站（Alexa排名見下圖），並不僅僅侷限於他們的直接攻擊目標。例如，“海蓮花”入侵了Dan Viet報刊網站（danviet[.]vn），這是越南訪問量排名116位的一家網站。

根據研究人員的說法，攻擊第一階段所使用的伺服器會根據訪問者的IP地址來交付誘餌指令碼（隨機的合法JavaScript庫）或者第一階段攻擊指令碼（比如， 2194271C7991D60AE82436129D7F25C0A689050A。雖然並非所有伺服器都會檢查訪問者的位置資訊，但啟用這一功能之後，只有來自越南和柬埔寨的訪問者才會收到惡意指令碼。

攻擊第二階段所使用的指令碼實質上是一個偵察指令碼，“海蓮花”的開發人員複用了在 ofollow,noindex" target="_blank">GitHub 上免費提供的fingerprintjs2庫，只是稍微進行了修改，添加了網路通訊及自定義報告功能。

研究人員表示，“海蓮花”會定期改進他們所使用的工具集，包括水坑攻擊框架以及Windows系統和macOS惡意軟體。在新的攻擊活動中，“海蓮花”再次引入了新的混淆技術，這些技術在之前的分析報告中從未出現過。這無疑再一次給我們敲響了警鐘，提醒我們應該更加密切關注這個APT組織。

宣告：本文來自黑客視界，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。