文档信息

通告背景

2017 年 11 月 6 日，国外安全公司发布了一篇据称海莲花 APT 团伙新活动的报告，360 威胁情报中心对其进行了分析和影响面评估，提供处置建议。

事件概要

事件描述

2017 年 11 月 6 日，国外安全公司 Volexity 发布了一篇关于疑似海莲花 APT 团伙新活动的 报告，该报告指出攻击团伙攻击了与政府、军事、人权、民主、媒体和国家石油勘探等有关 的个人和组织的 100 多个网站。通过针对性的 JavaScript 脚本进行信息收集，修改网页视 图，配合社会工程学诱导受害人点击安装恶意软件或者登陆钓鱼页面，以进行下一步的攻击渗透。

事件时间线

2017 年 11 月 6 日 Volexity 公司发布了据称海莲花新活动的报告。

2017 年 11 月 7 日 360 威胁情报中心发现确认部分攻击并作出响应。

影响面和危害分析

攻击者团伙入侵目标用户可能访问的网站，不仅破坏网站的安全性，还会收集所访问用户的 系统信息。如果确认感兴趣的目标，则会执行进一步的钓鱼攻击获取敏感账号信息或尝试植 入恶意程序进行秘密控制。

目前 360 威胁情报中心确认部分网站受到了影响，用户特别是政府及大企业有必要结合附 件提供的 IOC 信息对自身系统进行检查处理。

处置建议

1. 网站管理员检查自己网站页面是否被植入了恶意链接，如发现，清理被控制的网站中嵌 入的恶意代码，并排查内部网络的用户是否被植入了恶意程序。

2. 电脑安装防病毒安全软件，确认规则升级到最新。

技术分析

通过水坑攻击将恶意 JavaScript 代码植入到合法网站，收集用户浏览器指纹信息，修改网 页视图诱骗用户登陆钓鱼页面、安装下载恶意软件。

探针一

从样本 JavaScript 出发

http://45.32.105.45/ajax/libs/jquery/2.1.3/jquery.min.js?s=1&v=86462

jquery 的最下面有个 eval

核心获取传输数据部分如下：

探针二

获取数据部分

核心传输数据部分

传输内容

执行步骤

首先根据基础信息，引用到指定版本的恶意 jQuery js 文件进一步收集信息后获取新的 JavaScript payload。此 payload 是大量的基础的函数以及更详尽的设备信息收集，同时还 通过 WebRTC 获得真实 IP 地址。发送信息到通信地址加载新的 JavaScript payload，此 payload 进一步信息收集或者产生后续攻击变换。

数据传输地址

探针一

接受数据 //45.32.105.45/icon.jpg?v=86462&d={data}

根据参数下发

payload //45.32.105.45/ajax/libs/jquery/2.1.3/jquery.min.js?&v=86462&h1={data}&h2={da ta}&r={data}

探针二

往以下地址 POST 数据,并接受新的 js 并运行//ad.jqueryclick.com/117efea9-be70-54f2-9336-893c5a0defa1

信息收集列表

浏览器中执行的恶意代码会收集如下这些信息：

浏览器类型

浏览器版本

浏览器分辨率,DPI

cpu 类型

cpu 核心数

设备分辨率

buildID

系统语言 TLP：WHITE http://ti.360.net

jsHeapSizeLimit

screen.colorDepth

是否开启 cookie

是否开启 java

已经加载的插件列表

referrer

当前网络的 IP 地址

Cookie

更多技术细节可以参看参考资料的网页。

关联分析及溯源

360威胁情报中心尝试通过分发JavaScript的恶意域名的WHOIS信息来对本次事件做一些 关联分析，一共 38 个域名，基本上都使用了隐私保护，注册时间则分布于 2014 年 3 月-2017 年 10 月，可见攻击团伙的活动时间之长准备之充分。如下是其中一个域名的注册信息：

参考资料

https://www.volexity.com/blog/2017/11/06/oceanlotus-blossoms-mass-digital-surveillance -and-exploitation-of-asean-nations-the-media-human-rights-and-civil-society/

更新历史

附件

IOC列表