越南黑客组织APT32正对NSA网络武器开展研究利用

E安全6月3日讯 某个被怀疑与越南政府有所关联的黑客团体目前似乎正在对一款自美国国家安全局泄露出的，代号ODDJOB的后门工具进行研究。根据VirusTotal存储库中的相关上传文件，其源头被证明与黑客组织OceanLotus（国外安全公司称之为APT32，国内称为海莲花）有所关联。

国家支持型黑客正在研究利用NSA泄露的网络武器
ODDJOB的一份保密用户手册最初于今年4月14日由影子经纪人所发布。此份用户手册的副本于4月17日被OceanLotus上传至VirusTotal，并通过其它恶意邮件附件进行传播。多家美国网络安全企业指出，OceanLotus的行动极可能与越南政府有所关联。
OceanLotus上传的这份用户手册副本并不具备攻击能力，意味着其并未携带恶意软件，但能够将正常PDF转换为网络钓鱼诱饵。


此份文档的截屏内容
ODDJOB是一款高质量且经过精心设计的网络武器，据信曾被美国间谍人员用于从运行有较旧版本微软Windows系统（如XP和Server 2003）的计算机内收集情报。目前关于这款后门工具的细节信息还比较有限。影子经纪人方面也没有公布ODDJOB背后的计算机操作代码。
OceanLotus对于ODDJOB用户手册的关注，明显表示这支由国家支持的黑客组织正在努力掌握并有可能利用NSA外泄网络武器的攻击能力——这种作法在此前引发轩然大波的WannaCry勒索软件当中已经得到体现。
在被部署至目标计算机上之后，ODDJOB会尝试将自身伪造为微软后台智能传输服务（简称BITS，其通常由Windows Update用于在计算机上应用补丁）以隐藏其网络流量。
截至本周四下午，上传至VirusTotal的文件仍然原封不动继续存在。
这份手册由影子经纪人于今年4月首次公开，但此前并无民族国家及相关黑客组织关注该文件的报道。
OceanLotus攻击成果惊人
外媒报告称，OceanLotus可能正是菲律宾政府所遭遇的网络间谍活动的幕后黑手; 此次行动同样将敏感文件上传到了VirusTotal当中。目前仍不清楚其为何要把这些文件上传至这样一个公开网站。
除了ODDJOB手册之外，此番文件转储信息还包括美国总统特朗普与菲律宾总统罗德里戈·杜特特间的电话交谈记录、菲律宾政府官员与美国参议员间通话记录以及与菲律宾国家安全委员会相关的内部资料。


根据美国网络安全公司FireEye的调查，OceanLotus至少在2014年之前就已经开始对大型企业、外国政府、政治异见者以及越南国内记者进行入侵。

转自：E安全