OceanLotus (APT32) erklärt: Taktiken, Malware und TTPs

SOC Prime Team

Folgen

OceanLotus (APT32) erklärt: Taktiken, Malware und TTPs

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

OceanLotus, auch bekannt als APT32, ist eine hochentwickelte Cyber-Spionage-Gruppe, die mit vietnamesischen Staatsinteressen übereinstimmt und seit mindestens 2014 aktiv ist. Die Gruppe zielt auf Regierungs-, Medien- und Privatsektororganisationen in ganz Südostasien mit maßgeschneiderten Malware-Toolsets und fortschrittlichem operationellem Handwerk. Zu ihren Einbruchsmethoden gehören Spearphishing, Kompromittierung der Lieferkette und DLL-Sideloading, um langfristigen Zugang zu den Umgebungen der Opfer aufrechtzuerhalten.

Untersuchung

Der Bericht skizziert Operationen, die von Industriespionage gegen Automobilunternehmen bis hin zu neueren Aktivitäten in der Lieferkette mit der FireAnt MetaKit-Plattform reichen. Er untersucht auch Malware-Familien wie SPECTRALVIPER und ZiChatBot, einschließlich deren Bereitstellung und Einsatz auf Windows- und macOS-Systemen.

Minderung

Organisationen sollten Integritätsprüfungen für Software-Updates erzwingen, um die Exposition gegenüber Lieferkettenangriffen zu verringern, und eine starke Endpunkt-Erkennung einsetzen, um DLL-Sideloading-Aktivitäten aufzudecken. Die Überwachung auf unbefugte geplante Aufgaben, Cron-Jobs und verdächtige Registrierungsänderungen ist ebenfalls essentiell. Strikte E-Mail-Filterung und Benutzerschulung können zusätzlich das Risiko einer initialen Kompromittierung durch Spearphishing verringern.

Reaktion

Wenn OceanLotus-Aktivitäten erkannt werden, sollten betroffene Systeme sofort isoliert werden, um laterale Bewegungen und Datendiebstahl zu begrenzen. Eine tiefgehende forensische Analyse verdächtiger Prozesse wie OneDrive.Sync.Service.exe und unerwarteten macOS-Startagenten durchführen. Kompromittierte Anmeldeinformationen sollten widerrufen und Cloud-Speicherplattformen wie Dropbox und Google Drive auf Anzeichen unbefugter Etablierung oder Exfiltration überprüft werden.

"graph TB %% Klassendefinitionsabschnitt classDef recon fill:#e1f5fe %% Hellblau classDef resource fill:#fff9c4 %% Hellgelb classDef access fill:#ffccbc %% Hellorange classDef execution fill:#d1c4e9 %% Hellviolett classDef persistence fill:#c8e6c9 %% Hellgrün classDef escalation fill:#f8bbd0 %% Hellrosa classDef stealth fill:#cfd8dc %% Hellgrau classDef discovery fill:#b2dfdb %% Türkis classDef command_control fill:#ffecb3 %% Bernstein classDef exfiltration fill:#d7ccc8 %% Braun %% Aufklärungsabschnitt recon_track["Aktion – T1598: Phishing nach Informationen Sammeln von Identitäten und E-Mail-Adressen von Opfern über Tracking-Links."] class recon_track recon recon_profile["Aktion – T1592: Sammeln von Opfer-Host-Informationen Browser- und OS-Profilierung mit Web-Profiling-Frameworks auf gefälschten Nachrichtenseiten."] class recon_profile recon %% Ressourcenentwicklungsabschnitt res_dev_infra["Aktion – T1583: Infrastruktur beschaffen Registrierung von ähnlich klingenden Domains und Missbrauch von Web-Diensten wie Dropbox, Amazon S3 und Google Drive."] class res_dev_infra resource res_dev_malware["Malware Suite Maßgeschneiderte Malware-Suite einschließlich WINDSHIELD, KOMPROGO, SOUNDBITE, PHOREAL und SPECTRALVIPER."] class res_dev_malware resource %% Erste Zugriffssparte acc_supply["Aktion – T1195: Lieferkettenkompromiss Bösartige PyPI-Wheel-Pakete und Kompromittierung von FireAnt MetaKit-Update-Servern."] class acc_supply access acc_spear["Aktion – T1566.001: Spearphishing-Anhang Waffenstarrende Office-Dokumente, die per E-Mail verschickt werden."] class acc_spear access acc_driveby["Aktion – T1189: Angriff durch Drive-by-Download Verwendung von gefälschten Nachrichtenseiten zur Bereitstellung von Nutzlasten."] class acc_driveby access %% Ausführungsabschnitt exec_macro["Aktion – T1059.005: Kommando- und Skriptinterpreter: Visual Basic VBA-Makros in Office-Dokumenten."] class exec_macro execution exec_python["Aktion – T1059.006: Kommando- und Skriptinterpreter: Python Ausführung über bösartige PyPI-Wheel-Pakete."] class exec_python execution exec_perl["Aktion – T1059: Kommando- und Skriptinterpreter Perl-Skripte auf macOS verwendet."] class exec_perl execution %% Persistenzabschnitt pers_task["Aktion – T1053: Geplante Aufgabe/Job Cron-Jobs auf Linux und geplante Windows-Aufgaben."] class pers_task persistence pers_macos["Aktion – T1543: Systemprozess erstellen oder ändern Ändern von macOS LaunchAgents und LaunchDaemons."] class pers_macos persistence pers_registry["Aktion – T1547.001: Registryschlüssel für Autostart/Autostartordner Verwendung von Registry-Run-Schlüsseln für Persistenz."] class pers_registry persistence pers_sideloader["Aktion – T1574.002: Hijack-Execution-Flow: DLL-Sideloading Entführung des Ausführungsflusses, um die Präsenz aufrechtzuerhalten."] class pers_sideloader persistence %% Privilegieneskalationsabschnitt esc_token["Aktion – T1134: Manipulation des Zugriffstokens Token-Imitation und Diebstahl zur Erhöhung der Privilegien."] class esc_token escalation %% Tarnungsabschnitt stealth_obf["Aktion – T1027: Verschleierte Dateien oder Informationen Starke Verschleierung von Dateien und Informationen."] class stealth_obf stealth stealth_masq["Aktion – T1036: Maskerade Matching von Dateinamen und -standorten, um als legitime Ressourcen zu erscheinen."] class stealth_masq stealth stealth_inject["Aktion – T1055: Prozessinjektion Verstecken innerhalb vertrauenswürdiger Prozesse wie OneDrive."] class stealth_inject stealth stealth_remov["Aktion – T1070: Indikatorentfernung auf Host Dateilöschung und Timestomping."] class stealth_remov stealth %% Entdeckungsabschnitt disc_sysinfo["Aktion – T1082: Systeminformationsentdeckung Sammeln von Hardware-Details einschließlich Seriennummern und UUIDs sowie OS-Versionen."] class disc_sysinfo discovery %% Befehls- und Kontrollabschnitt c2_web["Aktion – T1071.001: Anwendungsprotokoll: Webprotokolle Resiliente C2-Kanäle mit HTTPS."] class c2_web command_control c2_nonapp["Aktion – T1095: Nicht-Anwendungsschicht-Protokoll Kommunikation über TCP und ICMP."] class c2_nonapp command_control c2_web_svc["Aktion – T1102: Webdienst Bidirektionale Kommunikation über Zulip und andere Web-Services."] class c2_web_svc command_control %% Exfiltrationsabschnitt exfil_data["Aktion – T1041: Exfiltration über C2-Kanal Gesammelte Daten werden über etablierte C2-Kanäle exfiltriert."] class exfil_data exfiltration %% Verbindungsabschnitt %% Aufklärung führt zu Ressourcenentwicklung recon_track –>|führt zu| res_dev_infra recon_profile –>|führt zu| res_dev_infra %% Ressourcenentwicklung führt zu Erstzugang res_dev_infra –>|unterstützt| acc_supply res_dev_infra –>|unterstützt| acc_spear res_dev_infra –>|unterstützt| acc_driveby res_dev_malware –>|verwendet in| acc_supply res_dev_malware –>|verwendet in| acc_spear %% Erste Zugang führt zu Ausführung acc_supply –>|löst aus| exec_python acc_spear –>|löst aus| exec_macro acc_driveby –>|löst aus| exec_perl %% Ausführung führt zu Persistenz exec_macro –>|ermöglicht| pers_task exec_python –>|ermöglicht| pers_registry exec_perl –>|ermöglicht| pers_macos exec_macro –>|ermöglicht| pers_sideloader %% Persistenz führt zu Privilegieneskalation pers_task –>|ermöglicht| esc_token pers_registry –>|ermöglicht| esc_token %% Privilegieneskalation führt zu Tarnung und Entdeckung esc_token –>|ermöglicht| stealth_inject esc_token –>|ermöglicht| stealth_obf %% Tarnung und Entdeckung führen zu C2 stealth_inject –>|versteckt| c2_web stealth_obf –>|versteckt| c2_nonapp disc_sysinfo –>|identifiziert_Ziele_für| c2_web_svc %% C2 führt zu Exfiltration c2_web –>|transportiert| exfil_data c2_nonapp –>|transportiert| exfil_data c2_web_svc –>|transportiert| exfil_data "

Angriffsablauf

Ansehen

## Simulation Execution

Voraussetzung: Die Telemetrie- & Basislinien-Vorabprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

Angriffs-Narrativ & Befehle: Der Gegner hat anfänglichen Zugriff auf die Workstation erhalten. Um der Erkennung durch bestehende EDR zu entgehen, versuchen sie, das Invoke-Obfuscation Framework zu nutzen, um ihre nachfolgenden Entdeckungsbefehle zu verschleiern. Sie laden das Framework herunter (hier simuliert durch direkte Befehlsaufrufe) und versuchen, einen Befehl auszuführen, der die spezifische Erkennungsregel durch Einschließen der Zeichenfolge Invoke-Obfuscation in der Prozessbefehlszeile.

Regressions-Testskript:

# Dieses Skript simuliert den Aufruf des Invoke-Obfuscation-Tools,
# um die 'CommandLine|contains: Invoke-Obfuscation' Erkennungsregel auszulösen.

Write-Host "[+] Starte Simulation: Auslösen der OceanLotus-Erkennungsregel"

# Simulation der Ausführung eines Befehls, der die Zielkette enthält
# In einem realen Szenario wäre dies das tatsächliche Modul, das aufgerufen wird.
Start-Process powershell.exe -ArgumentList "-Command `"Invoke-Obfuscation -Command {Get-Process}`""

Write-Host "[+] Simulationsbefehl gesendet. Überprüfen Sie das SIEM auf 'Erkennung von OceanLotus PowerShell Script Obfuscation'."

Bereinigungsbefehle:

# Durch das Simulationsskript wurden keine dauerhaften Änderungen vorgenommen.
# Um alle temporären Dateien zu bereinigen, falls sie erstellt wurden:
Remove-Item -Path "$env:TEMP*" -ErrorAction SilentlyContinue
Write-Host "[+] Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten