概要
“海蓮花”,又名APT32和OceanLotus,是越南背景的黑客組織。該組織至少自2012年開始活躍,長期針對中國能源相關行業、海事機構、海域建設部門、科研院所和航運企業等進行網絡攻擊。除中國外,“海蓮花”的目標還包含全球的政府、軍事機構和大型企業,以及本國的媒體、人權和公民社會等相關的組織和 個人。
近日,微步在線狩獵系統捕獲到一個APT32最新針對我國進行攻擊的誘餌文件,分析之後發現:
誘餌文件名為“2019年第一季度工作方向附表.rar”,該誘餌在攻擊過程中使用了兩層白利用進行DLL劫持,第一層為Word白利用,第二層為360安全瀏覽器白利用。兩層白利用是APT32新的攻擊手法,截至報告時間,該誘餌尚無殺軟檢出。
此次攻擊最終投遞的木馬為Cobalt Strike Beacon後門,具備進程注入、文件創建、服務創建、文件釋放等功能,C2通信使用Safebrowsing可延展C2配置。
微步在線通過對相關樣本、IP和域名的溯源分析,共提取5條相關IOC,可用於威脅情報檢測。微步在線的威脅情報平臺(TIP)、威脅檢測平臺(TDP)、API等均已支持此次攻擊事件和團伙的檢測。
詳情
自活躍以來,APT32一直持續針對我國進行網絡攻擊。在攻擊過程中,APT32一直在嘗試不同方法以 實現在目標系統上執行惡意代碼和繞過安全檢測,其中經常使用的包含白利用和C2流量偽裝等。近日,微步在線狩獵系統捕獲了一個APT32針對我國進行攻擊的誘餌,該誘餌使用了兩層白利用進行DLL劫持,第一層為Word白利用,第二層為360安全瀏覽器白利用,最終投遞的木馬為Cobalt Strike Beacon後門,C2通信使用Safebrowsing可延展C2配置。
誘餌“2019年第一季度工作方向附表.rar”整體攻擊流程如下:
截至報告發布時間,微步在線雲沙箱多引擎檢測和VirusTotal多引擎檢測均為0,如下圖:
樣本分析
誘餌“2019年第一季度工作方向附表.rar”為一壓縮文件,解壓得到“2019年第一季度工作方向附表.EXE” 和“wwlib.dll”,其中“2019年第一季度工作方向附表.EXE”為包含有效數字簽名的Word 2007可執行程序,打開會加載同目錄下的wwlib.dll,wwlib.dll被設置了系統和隱藏屬性。相關截圖如下:
1.下面對wwlib.dll進行分析。
2)DLL通過白利用被加載之後,會獲取系統盤符,然後在“\ProgramData\360seMaintenance\”目錄寫 入“chrome_elf.dll”和“360se.exe”文件,其中“360se.exe”是帶數字簽名的白文件,相關截圖如下:
3)惡意“wwlib.dll”還會根據EXE程序名構造“2019年第一季度工作方向附表.docx”字符串,然後在系統Temp目錄寫入帶密碼的docx文檔,用於偽裝自己是一個正常的文檔,相關代碼:
4)如果首次運行,則會在註冊表目錄“Software\\Classes\\”創建“.doc”和“.docx”項,然後調用WORD程序打開釋放到Temp目錄的.docx文件,相關代碼:
5)第二次運行查詢“Software\\Classes\\”存在“.doc”和“.docx”,則執行“360se.exe”文件,並附加Temp錄釋放的docx文件路徑為參數,相關代碼:
2.下面對chrome_elf.dll進行分析
1)chrome_elf.dll基本信息如下:
SHA256a2d2b9a05ed5b06db8e78b4197fc5ea515f26d5626d85f3b1b39210d50552af3SHA1f49607fe57cc0016dce66c809e94d9750b049082MD53b132e407474bc1c830d5a173428a6e1文件格式PE文件(DLL)文件大小191KB文件名chrome_elf.dll時間戳2019-02-11 3:12:43
2)chrome_elf.dll被360se.exe加載,然後在DLL初始化中,解析參數,然後調用WORD程序打開參數中的文件,並調用CryptAPI函數解密內存中的URL鏈接,解密後的URL為 “https://officewps.net/ultra.jpg”,部分CryptAPI函數代碼:
3)然後“360se.exe”調用DLL中的“SignalInitializeCrashReporting”執行判斷是否存在“360se.exe” 進程,如果不存在則不執行惡意代碼,相關代碼:
4)然後從https://officewps.net/ultra.jpg下載payload進行第三階段攻擊,相關代碼:
5)下載完成後拷貝payload到新申請內存空間,跳轉到payload的0偏移位置執行,相關代碼:
3.第三階段“ultra.jpg”分析:
2)首先payload的Shellcode會獲取相關API地址,相關API截圖:
3)然後循環解密payload中的數據,解密完成後是一個DLL版的Cobalt Strike Beacon後門。
4)調用CreateThread創建線程,從解密出來的0偏移位置執行,進行反射加載DLL。
5)連接C2地址和請求URL進行上線請求,C2通信使用Safebrowsing可延展C2配置。
6)該後門包含的C2命令多達76個,具體包含進程注入、文件創建、服務創建、文件釋放等等。
更多IOC信息詳見:
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=1397
閱讀更多 Whitezero 的文章
