“海蓮花”，又名 APT32 和 OceanLotus，是越南背景的黑客組織。

自2012年活躍以來，長期針對中國能源相關(guān)行業(yè)、海事機(jī)構(gòu)、海域建設(shè)部門、科研院所和航運(yùn)企業(yè)等進(jìn)行網(wǎng)絡(luò)攻擊。除中國外，“海蓮花”的目標(biāo)還包含全球的政府、軍事機(jī)構(gòu)和大型企業(yè)，以及本國的媒體、人權(quán)和公民社會(huì)等相關(guān)的組織和個(gè)人。

在攻擊過程中，APT32 一直在嘗試不同方法以 實(shí)現(xiàn)在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼和繞過安全檢測，其中經(jīng)常使用的包含白利用和 C2 流量偽裝等。

近日，微步在線狩獵系統(tǒng)捕獲了一個(gè) APT32 針對我國進(jìn)行攻擊的誘餌，該誘餌使用了兩層白利用進(jìn)行 DLL 劫持，第一層為 Word 白利用，第二層為 360 安全瀏覽器白利用，最終投遞的木馬為 Cobalt Strike Beacon 后門，C2通信使用 Safebrowsing 可延展 C2 配置。

誘餌“2019 年第一季度工作方向附表.rar”整體攻擊流程如下:

分析后發(fā)現(xiàn)：

誘餌文件名為“2019 年第一季度工作方向附表.rar”，該誘餌在攻擊過程中使用了兩層白利用進(jìn)行 DLL劫持，第一層為 Word 白利用，第二層為 360 安全瀏覽器白利用。兩層白利用是 APT32 新的攻擊手法， 截至報(bào)告時(shí)間，該誘餌尚無殺軟檢出。

此次攻擊最終投遞的木馬為 Cobalt Strike Beacon 后門，具備進(jìn)程注入、文件創(chuàng)建、服務(wù)創(chuàng)建、文件釋放等功能，C2 通信使用 Safebrowsing 可延展 C2 配置。

微步在線通過對相關(guān)樣本、IP 和域名的溯源分析，共提取 5 條相關(guān) IOC，可用于威脅情報(bào)檢測。

截至報(bào)告發(fā)布時(shí)間，未有殺軟檢出。  

樣本分析

誘餌“2019 年第一季度工作方向附表.rar”為一壓縮文件，解壓得到“2019 年第一季度工作方向附表.EXE” 和“wwlib.dll”，其中“2019 年第一季度工作方向附表.EXE”為包含有效數(shù)字簽名的 Word 2007 可執(zhí)行程序， 打開會(huì)加載同目錄下的 wwlib.dll，wwlib.dll 被設(shè)置了系統(tǒng)和隱藏屬性。相關(guān)截圖如下:

1、 下面對 wwlib.dll 進(jìn)行分析

1) wwlib.dll 的基本信息如下:

2)  DLL 通過白利用被加載之后，會(huì)獲取系統(tǒng)盤符，然后在“\ProgramData\360seMaintenance\”目錄寫 入“chrome_elf.dll”和“360se.exe”文件，其中“360se.exe”是帶數(shù)字簽名的白文件，相關(guān)截圖如下：

  

3)  惡意“wwlib.dll”還會(huì)根據(jù) EXE 程序名構(gòu)造“2019 年第一季度工作方向附表.docx”字符串，然后 在系統(tǒng) Temp 目錄寫入帶密碼的 docx 文檔，用于偽裝自己是一個(gè)正常的文檔，相關(guān)代碼：

4) 如果首次運(yùn)行，則會(huì)在注冊表目錄 “Software\\Classes\\”創(chuàng)建“.doc”和“.docx”項(xiàng)，然后調(diào)用 WORD程序打開釋放到 Temp 目錄的.docx 文件，相關(guān)代碼：

5) 第二次運(yùn)行查詢“Software\\Classes\\”存在“.doc”和“.docx”，則執(zhí)行“360se.exe”文件，并附加Temp 目錄釋放的 docx 文件路徑為參數(shù)，相關(guān)代碼：

2、 下面對 chrome_elf.dll 進(jìn)行分析

1) chrome_elf.dll 基本信息如下:

2) chrome_elf.dll 被 360se.exe 加載，然后在 DLL 初始化中，解析參數(shù)，然后調(diào)用 WORD 程序打開參 數(shù)中的文件，并調(diào)用 CryptAPI 函數(shù)解密內(nèi)存中的 URL 鏈接， 解密后的 URL 為 “https://officewps.net/ultra.jpg”，部分 CryptAPI 函數(shù)代碼：

     

3)  然后“360se.exe”調(diào)用 DLL 中的“SignalInitializeCrashReporting”執(zhí)行判斷是否存在“360se.exe” 進(jìn)程，如果不存在則不執(zhí)行惡意代碼，相關(guān)代碼：

4)  然后從 https://officewps.net/ultra.jpg 下載 payload 進(jìn)行第三階段攻擊，相關(guān)代碼：

5)  下載完成后拷貝 payload 到新申請內(nèi)存空間，跳轉(zhuǎn)到 payload 的 0 偏移位置執(zhí)行，相關(guān)代碼：

        

3、 第三階段“ultra.jpg”分析

1)  ultra.jpg 基本信息如下：

2)  首先 payload 的 Shellcode 會(huì)獲取相關(guān) API 地址，相關(guān) API 截圖：

3)  然后循環(huán)解密 payload 中的數(shù)據(jù)，解密完成后是一個(gè) DLL 版的 Cobalt Strike Beacon 后門。

4)  調(diào)用 CreateThread 創(chuàng)建線程，從解密出來的 0 偏移位置執(zhí)行，進(jìn)行反射加載 DLL。

5)  連接 C2 地址和請求 URL 進(jìn)行上線請求，C2 通信使用 Safebrowsing 可延展 C2 配置。

6) 該后門包含的 C2 命令多達(dá) 76 個(gè)，具體包含進(jìn)程注入、文件創(chuàng)建、服務(wù)創(chuàng)建、文件釋放等等。 

   

關(guān)聯(lián)分析

根據(jù)此次攻擊相關(guān)的 TTPs 和背景信息，我們認(rèn)為背后攻擊者為 APT32。此次攻擊與此前的一些攻擊的對比如下：

文章來源微步在線報(bào)告，雷鋒網(wǎng)編輯。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。