OceanLotus (APT32) Explicado: Táticas, Malware e TTPs

SOC Prime Team

Seguir

OceanLotus (APT32) Explicado: Táticas, Malware e TTPs

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

OceanLotus, também conhecido como APT32, é um grupo de ciberespionagem altamente capacitado alinhado com os interesses estatais vietnamitas e ativo desde pelo menos 2014. O grupo tem como alvo governos, mídias e organizações do setor privado em toda a Ásia do Sudeste, utilizando conjuntos de malware personalizados e táctica operacional avançada. Seus métodos de intrusão incluem spearphishing, comprometimento da cadeia de suprimentos e sideloading de DLL para manter acesso de longo prazo aos ambientes das vítimas.

Investigação

O relatório delineia operações que variam de espionagem industrial contra empresas automobilísticas a atividades mais recentes de cadeia de suprimentos envolvendo a plataforma FireAnt MetaKit. Ele também examina famílias de malware como SPECTRALVIPER e ZiChatBot, incluindo como elas são entregues e usadas em sistemas Windows e macOS.

Mitigação

As organizações devem aplicar verificações de integridade para atualizações de software para reduzir a exposição a ataques de cadeia de suprimentos e implantar uma detecção forte no endpoint para descobrir atividades de sideloading de DLL. Monitorar as mudanças no registro não autorizadas, tarefas programadas e cron jobs suspeitos também é essencial. Filtros de e-mail rigorosos e treinamento de conscientização dos usuários podem reduzir ainda mais o risco de compromisso inicial por meio de spearphishing.

Resposta

Se a atividade OceanLotus for detectada, isole imediatamente os sistemas afetados para limitar o movimento lateral e o roubo de dados. Conduza uma análise forense profunda de processos suspeitos como OneDrive.Sync.Service.exe e agentes de lançamento inesperados no macOS. Credenciais comprometidas devem ser revogadas, e plataformas de armazenamento em nuvem como Dropbox e Google Drive devem ser revisadas por sinais de preparação ou exfiltração não autorizada.

"graph TB %% Class Definitions Section classDef recon fill:#e1f5fe %% Light Blue classDef resource fill:#fff9c4 %% Light Yellow classDef access fill:#ffccbc %% Light Orange classDef execution fill:#d1c4e9 %% Light Purple classDef persistence fill:#c8e6c9 %% Light Green classDef escalation fill:#f8bbd0 %% Light Pink classDef stealth fill:#cfd8dc %% Light Grey classDef discovery fill:#b2dfdb %% Teal classDef command_control fill:#ffecb3 %% Amber classDef exfiltration fill:#d7ccc8 %% Brown %% Reconnaissance Section recon_track["Action – T1598: Phishing for Information Gathering victim identity and email addresses via tracking links."] class recon_track recon recon_profile["Action – T1592: Gather Victim Host Information Browser and OS profiling using web-profiling frameworks on fake news sites."] class recon_profile recon %% Resource Development Section res_dev_infra["Action – T1583: Acquire Infrastructure Registering look-alike domains and abusing web services like Dropbox, Amazon S3, and Google Drive."] class res_dev_infra resource res_dev_malware["Malware Suite Custom malware suite including WINDSHIELD, KOMPROGO, SOUNDBITE, PHOREAL, and SPECTRALVIPER."] class res_dev_malware resource %% Initial Access Section acc_supply["Action – T1195: Supply Chain Compromise Malicious PyPI wheel packages and compromising FireAnt MetaKit update servers."] class acc_supply access acc_spear["Action – T1566.001: Spearphishing Attachment Weaponized Office documents sent via email."] class acc_spear access acc_driveby["Action – T1189: Drive-by Compromise Use of fake news sites to deliver payloads."] class acc_driveby access %% Execution Section exec_macro["Action – T1059.005: Command and Scripting Interpreter: Visual Basic VBA macros in Office documents."] class exec_macro execution exec_python["Action – T1059.006: Command and Scripting Interpreter: Python Execution via malicious PyPI wheel packages."] class exec_python execution exec_perl["Action – T1059: Command and Scripting Interpreter Perl scripts utilized on macOS."] class exec_perl execution %% Persistence Section pers_task["Action – T1053: Scheduled Task/Job Cron jobs on Linux and Windows Scheduled Tasks."] class pers_task persistence pers_macos["Action – T1543: Create or Modify System Process Modifying macOS LaunchAgents and LaunchDaemons."] class pers_macos persistence pers_registry["Action – T1547.001: Registry Run Keys / Startup Folder Utilizing registry run keys for persistence."] class pers_registry persistence pers_sideloader["Action – T1574.002: Hijack Execution Flow: DLL Side-Loading Hijacking execution flow to maintain presence."] class pers_sideloader persistence %% Privilege Escalation Section esc_token["Action – T1134: Access Token Manipulation Token impersonation and theft to elevate privileges."] class esc_token escalation %% Stealth Section stealth_obf["Action – T1027: Obfuscated Files or Information Heavy obfuscation of files and information."] class stealth_obf stealth stealth_masq["Action – T1036: Masquerading Matching filenames and locations to appear as legitimate resources."] class stealth_masq stealth stealth_inject["Action – T1055: Process Injection Hiding within trusted processes like OneDrive."] class stealth_inject stealth stealth_remov["Action – T1070: Indicator Removal On Host File deletion and timestomping."] class stealth_remov stealth %% Discovery Section disc_sysinfo["Action – T1082: System Information Discovery Collecting hardware details including serial numbers and UUIDs and OS versions."] class disc_sysinfo discovery %% Command and Control Section c2_web["Action – T1071.001: Application Layer Protocol: Web Protocols Resilient C2 channels using HTTPS."] class c2_web command_control c2_nonapp["Action – T1095: Non-Application Layer Protocol Communication via TCP and ICMP."] class c2_nonapp command_control c2_web_svc["Action – T1102: Web Service Bidirectional communication via Zulip and other web services."] class c2_web_svc command_control %% Exfiltration Section exfil_data["Action – T1041: Exfiltration Over C2 Channel Collected data is exfiltrated over established C2 channels."] class exfil_data exfiltration %% Connections Section %% Recon leads to Resource Development recon_track –>|leads_to| res_dev_infra recon_profile –>|leads_to| res_dev_infra %% Resource Development leads to Initial Access res_dev_infra –>|supports| acc_supply res_dev_infra –>|supports| acc_spear res_dev_infra –>|supports| acc_driveby res_dev_malware –>|used_in| acc_supply res_dev_malware –>|used_in| acc_spear %% Initial Access leads to Execution acc_supply –>|triggers| exec_python acc_spear –>|triggers| exec_macro acc_driveby –>|triggers| exec_perl %% Execution leads to Persistence exec_macro –>|enables| pers_task exec_python –>|enables| pers_registry exec_perl –>|enables| pers_macos exec_macro –>|enables| pers_sideloader %% Persistence leads to Privilege Escalation pers_task –>|allows| esc_token pers_registry –>|allows| esc_token %% Privilege Escalation leads to Stealth and Discovery esc_token –>|facilitates| stealth_inject esc_token –>|facilitates| stealth_obf %% Stealth and Discovery lead to C2 stealth_inject –>|hides| c2_web stealth_obf –>|hides| c2_nonapp disc_sysinfo –>|identifies_targets_for| c2_web_svc %% C2 leads to Exfiltration c2_web –>|transports| exfil_data c2_nonapp –>|transports| exfil_data c2_web_svc –>|transports| exfil_data "

Attack Flow

Ver

## Simulation Execution

Prerequisite: The Telemetry & Baseline Pre-flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.

Attack Narrative & Commands: O adversário obteve acesso inicial à estação de trabalho. Para evitar a detecção pelo EDR existente, eles tentam usar o Invoke-Obfuscation framework para mascarar seus comandos de descoberta subsequentes. Eles baixam o framework (simulado aqui pela invocação direta de comando) e tentam executar um comando que aciona a regra de detecção específica incluindo a string Invoke-Obfuscation na linha de comando do processo.

Script de Teste de Regressão:

# Este script simula a invocação da ferramenta Invoke-Obfuscation 
# para acionar a regra de detecção 'CommandLine|contains: Invoke-Obfuscation'.

Write-Host "[+] Iniciando Simulação: Acionando Regra de Detecção do OceanLotus"

# Simulando a execução de um comando que contém a string alvo
# Em um cenário real, este seria o módulo real sendo chamado.
Start-Process powershell.exe -ArgumentList "-Command `"Invoke-Obfuscation -Command {Get-Process}`""

Write-Host "[+] Comando de simulação enviado. Verifique SIEM para 'Detecção de Obfuscação de Script PowerShell do OceanLotus'."

Comandos de Limpeza:

# Nenhuma alteração persistente foi feita pelo script de simulação.
# Para limpar quaisquer arquivos temporários se eles foram criados:
Remove-Item -Path "$env:TEMP*" -ErrorAction SilentlyContinue
Write-Host "[+] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente