“海蓮花”，又名 APT32 和 OceanLotus，是越南背景的黑客組織。

自2012年活躍以來，長期針對中國能源相關行業(yè)、海事機構、海域建設部門、科研院所和航運企業(yè)等進行網(wǎng)絡攻擊。除中國外，“海蓮花”的目標還包含全球的政府、軍事機構和大型企業(yè)，以及本國的媒體、人權和公民社會等相關的組織和個人。

在攻擊過程中，APT32 一直在嘗試不同方法以 實現(xiàn)在目標系統(tǒng)上執(zhí)行惡意代碼和繞過安全檢測，其中經(jīng)常使用的包含白利用和 C2 流量偽裝等。

近日，微步在線狩獵系統(tǒng)捕獲了一個 APT32 針對我國進行攻擊的誘餌，該誘餌使用了兩層白利用進行 DLL 劫持，第一層為 Word 白利用，第二層為 360 安全瀏覽器白利用，最終投遞的木馬為 Cobalt Strike Beacon 后門，C2通信使用 Safebrowsing 可延展 C2 配置。

誘餌“2019 年第一季度工作方向附表.rar”整體攻擊流程如下:

分析后發(fā)現(xiàn)：

誘餌文件名為“2019 年第一季度工作方向附表.rar”，該誘餌在攻擊過程中使用了兩層白利用進行 DLL劫持，第一層為 Word 白利用，第二層為 360 安全瀏覽器白利用。兩層白利用是 APT32 新的攻擊手法， 截至報告時間，該誘餌尚無殺軟檢出。

此次攻擊最終投遞的木馬為 Cobalt Strike Beacon 后門，具備進程注入、文件創(chuàng)建、服務創(chuàng)建、文件釋放等功能，C2 通信使用 Safebrowsing 可延展 C2 配置。

微步在線通過對相關樣本、IP 和域名的溯源分析，共提取 5 條相關 IOC，可用于威脅情報檢測。

截至報告發(fā)布時間，未有殺軟檢出。  

樣本分析

誘餌“2019 年第一季度工作方向附表.rar”為一壓縮文件，解壓得到“2019 年第一季度工作方向附表.EXE” 和“wwlib.dll”，其中“2019 年第一季度工作方向附表.EXE”為包含有效數(shù)字簽名的 Word 2007 可執(zhí)行程序， 打開會加載同目錄下的 wwlib.dll，wwlib.dll 被設置了系統(tǒng)和隱藏屬性。相關截圖如下:

1、 下面對 wwlib.dll 進行分析

1) wwlib.dll 的基本信息如下:

2)  DLL 通過白利用被加載之后，會獲取系統(tǒng)盤符，然后在“\ProgramData\360seMaintenance\”目錄寫 入“chrome_elf.dll”和“360se.exe”文件，其中“360se.exe”是帶數(shù)字簽名的白文件，相關截圖如下：

  

3)  惡意“wwlib.dll”還會根據(jù) EXE 程序名構造“2019 年第一季度工作方向附表.docx”字符串，然后 在系統(tǒng) Temp 目錄寫入帶密碼的 docx 文檔，用于偽裝自己是一個正常的文檔，相關代碼：

4) 如果首次運行，則會在注冊表目錄 “Software\\Classes\\”創(chuàng)建“.doc”和“.docx”項，然后調(diào)用 WORD程序打開釋放到 Temp 目錄的.docx 文件，相關代碼：

5) 第二次運行查詢“Software\\Classes\\”存在“.doc”和“.docx”，則執(zhí)行“360se.exe”文件，并附加Temp 目錄釋放的 docx 文件路徑為參數(shù)，相關代碼：

2、 下面對 chrome_elf.dll 進行分析

1) chrome_elf.dll 基本信息如下:

2) chrome_elf.dll 被 360se.exe 加載，然后在 DLL 初始化中，解析參數(shù)，然后調(diào)用 WORD 程序打開參 數(shù)中的文件，并調(diào)用 CryptAPI 函數(shù)解密內(nèi)存中的 URL 鏈接， 解密后的 URL 為 “https://officewps.net/ultra.jpg”，部分 CryptAPI 函數(shù)代碼：

     

3)  然后“360se.exe”調(diào)用 DLL 中的“SignalInitializeCrashReporting”執(zhí)行判斷是否存在“360se.exe” 進程，如果不存在則不執(zhí)行惡意代碼，相關代碼：

4)  然后從 https://officewps.net/ultra.jpg 下載 payload 進行第三階段攻擊，相關代碼：

5)  下載完成后拷貝 payload 到新申請內(nèi)存空間，跳轉(zhuǎn)到 payload 的 0 偏移位置執(zhí)行，相關代碼：

        

3、 第三階段“ultra.jpg”分析

1)  ultra.jpg 基本信息如下：

2)  首先 payload 的 Shellcode 會獲取相關 API 地址，相關 API 截圖：

3)  然后循環(huán)解密 payload 中的數(shù)據(jù)，解密完成后是一個 DLL 版的 Cobalt Strike Beacon 后門。

4)  調(diào)用 CreateThread 創(chuàng)建線程，從解密出來的 0 偏移位置執(zhí)行，進行反射加載 DLL。

5)  連接 C2 地址和請求 URL 進行上線請求，C2 通信使用 Safebrowsing 可延展 C2 配置。

6) 該后門包含的 C2 命令多達 76 個，具體包含進程注入、文件創(chuàng)建、服務創(chuàng)建、文件釋放等等。 

   

關聯(lián)分析

根據(jù)此次攻擊相關的 TTPs 和背景信息，我們認為背后攻擊者為 APT32。此次攻擊與此前的一些攻擊的對比如下：

文章來源微步在線報告，雷鋒網(wǎng)編輯。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。