境外APT组织“海莲花”(OceanLotus)最新攻击活动解析

一、事件概述

APT组织“海莲花”(OceanLotus)再度活跃！腾讯御见威胁情报中心近日截获该组织在越南发起的最新攻击活动，其以名为“Đơn khiếu nại”（越南语“投诉”）的恶意文档做诱饵，利用加密的宏代码实施攻击，致使受害用户被安装远程控制木马。

“海莲花”(OceanLotus)黑客组织是一个长期针对中国及周边、东南亚国家(地区)政府、科研机构、海运企业等重要领域进行攻击的APT组织。由于事关敏感地区重要情报，“海莲花”(OceanLotus)黑客组织的一举一动，均可能对我国相关政府机构、企业网络安全产生重要影响。

此次诱饵文件为恶意Word文档，文件名为“2018 Cambodia Outlook Conference.doc”（2018柬埔寨展望会议），另一个攻击文件为“Đơn khiếu nại”（越南语，中文意思为“投诉”）。

（图：诱饵文档内容）

诱饵文档均使用宏代码实施攻击，宏代码还加密保护了。

（图：宏VBA代码受密码保护）

破解密码后分析发现，诱饵攻击文件会通过一系列的动作，在系统中释放远程控制木马。腾讯御见威胁情报中心通过木马溯源，发现这次截获的诱饵攻击文件和2016年截获的另一个木马文件（关于**维护海洋权益工作有关情况的通知.doc）的攻击方式几乎没有变化。

二、技术分析：

1、宏代码分析

破解密码后发现宏代码行为如下：

1）复制系统目录下的wscript.exe到C:\ProgramData\ErroLogon.exe

2）解密脚本，并释放到C:\ProgramData\Error.log

3）创建计划任务，每10分钟执行一次任务，任务内容为利用ErroLogon.exe执行Error.log

4）向文档中写入Error:0x8004fc12字符进行伪装

图）向文档中写入伪装内容

图）拷贝wscript.exe，解密并释放脚本

图）创建计划任务

2、唯一落地恶意脚本Error.log分析：

Error.log脚本行为非常简单，只有一行代码有用，其他全是用户干扰分析的垃圾代码，其功能是下载https://services.serveftp.net/domain.png文件，并加载其中的脚本

图）Error.log脚本内容

3、domain.png行为分析

domain.png中的脚本行为主要有：

1）创建一个excel对象

2）修改注册表，关闭excel相关安全设置

3）往excel对象中添加vba代码（宏）

4）执行excel中的宏代码

通过以上步骤，系统服务会创建一个excel进程，并执行宏代码，实现进程断链

图）domain.png文件内容

图）domain.png脚本内容：其中包含了三段加密的脚本

图）解密后的第一段脚本，主要是创建一个excel对象，并通过注册表弱化安全防护

图）解密后的第二段脚本，是要在excel中执行vba代码（宏），被加入到excel对象中

图）解密后的第三段代码，执行宏中的Auto_Open函数，并将注册表改回原样。

4、加入excel中的VBA代码分析

vba代码实现的功能有：

1）解密出shellcode1

2）创建一个rundll32.exe进程，并将shellcode以远程线程的方式注入执行

图）获取远程线程注入相关的API函数

图）加密的shellcode内容

图）解密shellcode，并创建rundll32注入

5、注入rundll32.exe中的shellcode分析：

shellcode的行为如下：

1）下载https://services.serveftp.net/4hVj到内存中，并作为代码跳入执行

图）shellcode内容

图）下载https://services.serveftp.net/4hVj相关代码

图）下载相关代码

图）通过pop eax retn直接跳入下载的内容中执行

6、4hVj分析：

1）4hVj头部的shellcode用于解密随后的playload（PE文件）

2）解密后跳入PE文件ReflectiveLoader函数中执行，该函数能够自动定位自身所在的PE文件并在内容中展开加载执行PE文件

图）4hVj内容

图）解密先关代码

图）PE带有的自加载函数

7、playload分析：

1）playload是个功能完善的远程控制木马（RAT）

2）C2地址如下：

https://services.serveftp.net/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books

3）功能齐全，多达72个分发命令字

图）连接C2相关代码

图）命令分发列表

三、关联分析：

         该木马是“海莲花组织”（OceanLotus）使用的一个远程控制木马之一，我们在2016年底第一次捕获该木马（b0010230b233a85f695daa7b9b8a86a9 关于**维护海洋权益工作有关情况的通知.doc），至今已捕获多个变种，该rat变种主要提现在前期的脚本上，最终的playload几乎没有大的变化。

图）最终playload几乎没有变化

图）最终playload几乎没有变化

其通讯伪https头伪装成亚马逊

详见：https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/amazon.profile

四、安全建议

多年来，“海莲花”(OceanLotus)黑客组织（也叫APT32或APT-C-00）一直非常活跃，其主要攻击目标围绕包括中国在内的东亚、东南亚多个国家政府机构、科研机构和海运企业展开。其意图可能涉及刺探国家机密、企业业务数据，并可执行破坏性行动。

腾讯企业安全技术专家提醒在东南亚地区开展业务的政府、企业用户，切勿随意打开来历不明的文档，建议安装安全软件加强防御，通过部署御界高级威胁检测系统，可及时感知恶意流量，检测钓鱼网址和远控服务器地址在企业网络中的访问情况，有效保护企业及政府机构的网络信息安全。

腾讯御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。凭借基于行为的防护和智能模型两大核心能力，御界高级威胁检测系统可高效检测未知威胁，并通过对企业内外网边界处网络流量的分析，感知漏洞的利用和攻击。