OceanLotus (APT32) Spiegato: Tattiche, Malware e TTP

SOC Prime Team

Segui

OceanLotus (APT32) Spiegato: Tattiche, Malware e TTP

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riepilogo

OceanLotus, noto anche come APT32, è un gruppo di cyber spionaggio altamente capace allineato con gli interessi statali vietnamiti attivo almeno dal 2014. Il gruppo prende di mira governi, media e organizzazioni del settore privato in tutta l’Asia sudorientale utilizzando set di malware personalizzati e tecniche operative avanzate. I loro metodi di intrusione includono spearphishing, compromissione della catena di fornitura e caricamento laterale di DLL per mantenere l’accesso a lungo termine agli ambienti delle vittime.

Indagine

Il rapporto delinea operazioni che vanno dallo spionaggio industriale contro aziende automobilistiche a più recenti attività della catena di fornitura coinvolgendo la piattaforma FireAnt MetaKit. Esamina anche famiglie di malware come SPECTRALVIPER e ZiChatBot, incluso come vengono distribuiti e utilizzati su sistemi sia Windows che macOS.

Mitigazione

Le organizzazioni dovrebbero imporre controlli di integrità per gli aggiornamenti del software per ridurre l’esposizione agli attacchi della catena di fornitura e distribuire una solida rilevazione degli endpoint per scoprire l’attività di caricamento laterale di DLL. È inoltre essenziale monitorare compiti pianificati non autorizzati, cron job e cambiamenti sospetti nel registro di sistema. Un filtraggio rigido delle email e la formazione di consapevolezza degli utenti possono ulteriormente ridurre il rischio di compromissione iniziale tramite spearphishing.

Risposta

Se viene rilevata un’attività di OceanLotus, isolare immediatamente i sistemi compromessi per limitare il movimento laterale e il furto di dati. Condurre analisi forensi approfondite dei processi sospetti come OneDrive.Sync.Service.exe e agenti di lancio macOS inaspettati. Credenziali compromesse dovrebbero essere revocate, e piattaforme di archiviazione cloud come Dropbox e Google Drive dovrebbero essere controllate per segni di messa in scena o esfiltrazione non autorizzata.

"graph TB %% Class Definitions Section classDef recon fill:#e1f5fe %% Light Blue classDef resource fill:#fff9c4 %% Light Yellow classDef access fill:#ffccbc %% Light Orange classDef execution fill:#d1c4e9 %% Light Purple classDef persistence fill:#c8e6c9 %% Light Green classDef escalation fill:#f8bbd0 %% Light Pink classDef stealth fill:#cfd8dc %% Light Grey classDef discovery fill:#b2dfdb %% Teal classDef command_control fill:#ffecb3 %% Amber classDef exfiltration fill:#d7ccc8 %% Brown %% Reconnaissance Section recon_track["Action – T1598: Phishing for Information Gathering victim identity and email addresses via tracking links."] class recon_track recon recon_profile["Action – T1592: Gather Victim Host Information Browser and OS profiling using web-profiling frameworks on fake news sites."] class recon_profile recon %% Resource Development Section res_dev_infra["Action – T1583: Acquire Infrastructure Registering look-alike domains and abusing web services like Dropbox, Amazon S3, and Google Drive."] class res_dev_infra resource res_dev_malware["Malware Suite Custom malware suite including WINDSHIELD, KOMPROGO, SOUNDBITE, PHOREAL, and SPECTRALVIPER."] class res_dev_malware resource %% Initial Access Section acc_supply["Action – T1195: Supply Chain Compromise Malicious PyPI wheel packages and compromising FireAnt MetaKit update servers."] class acc_supply access acc_spear["Action – T1566.001: Spearphishing Attachment Weaponized Office documents sent via email."] class acc_spear access acc_driveby["Action – T1189: Drive-by Compromise Use of fake news sites to deliver payloads."] class acc_driveby access %% Execution Section exec_macro["Action – T1059.005: Command and Scripting Interpreter: Visual Basic VBA macros in Office documents."] class exec_macro execution exec_python["Action – T1059.006: Command and Scripting Interpreter: Python Execution via malicious PyPI wheel packages."] class exec_python execution exec_perl["Action – T1059: Command and Scripting Interpreter Perl scripts utilized on macOS."] class exec_perl execution %% Persistence Section pers_task["Action – T1053: Scheduled Task/Job Cron jobs on Linux and Windows Scheduled Tasks."] class pers_task persistence pers_macos["Action – T1543: Create or Modify System Process Modifying macOS LaunchAgents and LaunchDaemons."] class pers_macos persistence pers_registry["Action – T1547.001: Registry Run Keys / Startup Folder Utilizing registry run keys for persistence."] class pers_registry persistence pers_sideloader["Action – T1574.002: Hijack Execution Flow: DLL Side-Loading Hijacking execution flow to maintain presence."] class pers_sideloader persistence %% Privilege Escalation Section esc_token["Action – T1134: Access Token Manipulation Token impersonation and theft to elevate privileges."] class esc_token escalation %% Stealth Section stealth_obf["Action – T1027: Obfuscated Files or Information Heavy obfuscation of files and information."] class stealth_obf stealth stealth_masq["Action – T1036: Masquerading Matching filenames and locations to appear as legitimate resources."] class stealth_masq stealth stealth_inject["Action – T1055: Process Injection Hiding within trusted processes like OneDrive."] class stealth_inject stealth stealth_remov["Action – T1070: Indicator Removal On Host File deletion and timestomping."] class stealth_remov stealth %% Discovery Section disc_sysinfo["Action – T1082: System Information Discovery Collecting hardware details including serial numbers and UUIDs and OS versions."] class disc_sysinfo discovery %% Command and Control Section c2_web["Action – T1071.001: Application Layer Protocol: Web Protocols Resilient C2 channels using HTTPS."] class c2_web command_control c2_nonapp["Action – T1095: Non-Application Layer Protocol Communication via TCP and ICMP."] class c2_nonapp command_control c2_web_svc["Action – T1102: Web Service Bidirectional communication via Zulip and other web services."] class c2_web_svc command_control %% Exfiltration Section exfil_data["Action – T1041: Exfiltration Over C2 Channel Collected data is exfiltrated over established C2 channels."] class exfil_data exfiltration %% Connections Section %% Recon leads to Resource Development recon_track –>|leads_to| res_dev_infra recon_profile –>|leads_to| res_dev_infra %% Resource Development leads to Initial Access res_dev_infra –>|supports| acc_supply res_dev_infra –>|supports| acc_spear res_dev_infra –>|supports| acc_driveby res_dev_malware –>|used_in| acc_supply res_dev_malware –>|used_in| acc_spear %% Initial Access leads to Execution acc_supply –>|triggers| exec_python acc_spear –>|triggers| exec_macro acc_driveby –>|triggers| exec_perl %% Execution leads to Persistence exec_macro –>|enables| pers_task exec_python –>|enables| pers_registry exec_perl –>|enables| pers_macos exec_macro –>|enables| pers_sideloader %% Persistence leads to Privilege Escalation pers_task –>|allows| esc_token pers_registry –>|allows| esc_token %% Privilege Escalation leads to Stealth and Discovery esc_token –>|facilitates| stealth_inject esc_token –>|facilitates| stealth_obf %% Stealth and Discovery lead to C2 stealth_inject –>|hides| c2_web stealth_obf –>|hides| c2_nonapp disc_sysinfo –>|identifies_targets_for| c2_web_svc %% C2 leads to Exfiltration c2_web –>|transports| exfil_data c2_nonapp –>|transports| exfil_data c2_web_svc –>|transports| exfil_data "

Flusso di Attacco

Visualizza

## Esecuzione della Simulazione

Prerequisito: Il Controllo Pronti del Telemetry & Baseline Check deve essere superato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

Narrazione dell’Attacco & Comandi: L’avversario ha ottenuto l’accesso iniziale alla workstation. Per evitare il rilevamento da parte del EDR esistente, tentano di utilizzare il Invoke-Obfuscation framework per mascherare i comandi successivi di scoperta. Scaricano il framework (simulato qui tramite invocazione diretta del comando) e provano a eseguire un comando che attiva la specifica regola di rilevamento includendo la stringa Invoke-Obfuscation nella riga di comando del processo.

Script di Test di Regressione:

# Questo script simula l'invocazione dello strumento Invoke-Obfuscation
# per attivare la regola di rilevamento 'CommandLine|contains: Invoke-Obfuscation'.

Write-Host "[+] Avviando la Simulazione: Attivazione della Regola di Rilevamento OceanLotus"

# Simulazione dell'esecuzione di un comando che contiene la stringa target
# In uno scenario reale, questo sarebbe il modulo effettivo in esecuzione.
Start-Process powershell.exe -ArgumentList "-Command `"Invoke-Obfuscation -Command {Get-Process}`""

Write-Host "[+] Comando di simulazione inviato. Controlla SIEM per 'Rilevazione di Offuscamento degli Script PowerShell di OceanLotus'."

Comandi di Pulizia:

# Nessuna modifica persistente è stata apportata dallo script di simulazione.
# Per ripulire eventuali file temporanei se sono stati creati:
Remove-Item -Path "$env:TEMP*" -ErrorAction SilentlyContinue
Write-Host "[+] Pulizia completata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis