境外APT组织“海莲花”(OceanLotus)最新攻击活动解析

2018-06-19 10:09:44
APT组织“海莲花”(OceanLotus)再度活跃!腾讯御见威胁情报中心近日截获该组织在越南发起的最新攻击活动,其以名为“Đơn khiếu nại”(越南语“投诉”)的恶意文档做诱饵,利用加密的宏代码实施攻击,致使受害用户被安装远程控制木马。

一、事件概述

APT组织海莲花”(OceanLotus)再度活跃!腾讯御见威胁情报中心近日截获该组织在越南发起的最新攻击活动,其以名为“Đơn khiếu nại”(越南语投诉)的恶意文档做诱饵,利用加密的宏代码实施攻击,致使受害用户被安装远程控制木马。

“海莲花”(OceanLotus)黑客组织是一个长期针对中国及周边、东南亚国家(地区)政府、科研机构、海运企业等重要领域进行攻击的APT组织。由于事关敏感地区重要情报,“海莲花”(OceanLotus)黑客组织的一举一动,均可能对我国相关政府机构、企业网络安全产生重要影响。

此次诱饵文件为恶意Word文档,文件名为“2018 Cambodia Outlook Conference.doc”(2018柬埔寨展望会议),另一个攻击文件为“Đơn khiếu ni”(越南语,中文意思为投诉)。


(图:诱饵文档内容)

诱饵文档均使用宏代码实施攻击,宏代码还加密保护了。


(图:宏VBA代码受密码保护)

破解密码后分析发现,诱饵攻击文件会通过一系列的动作,在系统中释放远程控制木马。腾讯御见威胁情报中心通过木马溯源,发现这次截获的诱饵攻击文件和2016年截获的另一个木马文件(关于**维护海洋权益工作有关情况的通知.doc)的攻击方式几乎没有变化。


二、技术分析:

1、宏代码分析

破解密码后发现宏代码行为如下:

1)复制系统目录下的wscript.exeC:\ProgramData\ErroLogon.exe

2)解密脚本,并释放到C:\ProgramData\Error.log

3)创建计划任务,每10分钟执行一次任务,任务内容为利用ErroLogon.exe执行Error.log

4)向文档中写入Error:0x8004fc12字符进行伪装


图)向文档中写入伪装内容


图)拷贝wscript.exe,解密并释放脚本


图)创建计划任务

2、唯一落地恶意脚本Error.log分析:

Error.log脚本行为非常简单,只有一行代码有用,其他全是用户干扰分析的垃圾代码,其功能是下载https://services.serveftp.net/domain.png文件,并加载其中的脚本


图)Error.log脚本内容

3domain.png行为分析

domain.png中的脚本行为主要有:

1)创建一个excel对象

2)修改注册表,关闭excel相关安全设置

3)往excel对象中添加vba代码(宏)

4)执行excel中的宏代码

通过以上步骤,系统服务会创建一个excel进程,并执行宏代码,实现进程断链


图)domain.png文件内容


图)domain.png脚本内容:其中包含了三段加密的脚本


图)解密后的第一段脚本,主要是创建一个excel对象,并通过注册表弱化安全防护


图)解密后的第二段脚本,是要在excel中执行vba代码(宏),被加入到excel对象中


图)解密后的第三段代码,执行宏中的Auto_Open函数,并将注册表改回原样。

4、加入excel中的VBA代码分析

vba代码实现的功能有:

1)解密出shellcode1

2)创建一个rundll32.exe进程,并将shellcode以远程线程的方式注入执行


图)获取远程线程注入相关的API函数


图)加密的shellcode内容


图)解密shellcode,并创建rundll32注入

5、注入rundll32.exe中的shellcode分析:

shellcode的行为如下:

1)下载https://services.serveftp.net/4hVj到内存中,并作为代码跳入执行


图)shellcode内容


图)下载https://services.serveftp.net/4hVj相关代码


图)下载相关代码


图)通过pop eax retn直接跳入下载的内容中执行

64hVj分析:

14hVj头部的shellcode用于解密随后的playloadPE文件)

2)解密后跳入PE文件ReflectiveLoader函数中执行,该函数能够自动定位自身所在的PE文件并在内容中展开加载执行PE文件


图)4hVj内容


图)解密先关代码


图)PE带有的自加载函数

7playload分析:

1playload是个功能完善的远程控制木马(RAT

2C2地址如下:

https://services.serveftp.net/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books

3)功能齐全,多达72个分发命令字


图)连接C2相关代码

图)命令分发列表


三、关联分析:

         该木马是“海莲花组织”(OceanLotus)使用的一个远程控制木马之一,我们在2016年底第一次捕获该木马(b0010230b233a85f695daa7b9b8a86a9 关于**维护海洋权益工作有关情况的通知.doc),至今已捕获多个变种,该rat变种主要提现在前期的脚本上,最终的playload几乎没有大的变化。



图)最终playload几乎没有变化


图)最终playload几乎没有变化

其通讯伪https头伪装成亚马逊

详见:https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/amazon.profile


四、安全建议

多年来,“海莲花”(OceanLotus)黑客组织(也叫APT32APT-C-00)一直非常活跃,其主要攻击目标围绕包括中国在内的东亚、东南亚多个国家政府机构、科研机构和海运企业展开。其意图可能涉及刺探国家机密、企业业务数据,并可执行破坏性行动。

腾讯企业安全技术专家提醒在东南亚地区开展业务的政府、企业用户,切勿随意打开来历不明的文档,建议安装安全软件加强防御,通过部署御界高级威胁检测系统,可及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,有效保护企业及政府机构的网络信息安全。

腾讯御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。

最新资讯