攻击我国政府的海莲花又来幺蛾子

2019 年 4 月 24 日 宅客频道

“海莲花”,又名 APT32 和 OceanLotus,是越南背景的黑客组织。

自2012年活跃以来,长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。

在攻击过程中,APT32 一直在尝试不同方法以 实现在目标系统上执行恶意代码和绕过安全检测,其中经常使用的包含白利用和 C2 流量伪装等。

近日,微步在线狩猎系统捕获了一个 APT32 针对我国进行攻击的诱饵,该诱饵使用了两层白利用进行 DLL 劫持,第一层为 Word 白利用,第二层为 360 安全浏览器白利用,最终投递的木马为 Cobalt Strike Beacon 后门,C2通信使用 Safebrowsing 可延展 C2 配置。

诱饵“2019 年第一季度工作方向附表.rar”整体攻击流程如下:

分析后发现:

诱饵文件名为“2019 年第一季度工作方向附表.rar”,该诱饵在攻击过程中使用了两层白利用进行 DLL劫持,第一层为 Word 白利用,第二层为 360 安全浏览器白利用。两层白利用是 APT32 新的攻击手法, 截至报告时间,该诱饵尚无杀软检出。

此次攻击最终投递的木马为 Cobalt Strike Beacon 后门,具备进程注入、文件创建、服务创建、文件释放等功能,C2 通信使用 Safebrowsing 可延展 C2 配置。

微步在线通过对相关样本、IP 和域名的溯源分析,共提取 5 条相关 IOC,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API 等均已支持此次攻击事件和团伙的检测。

截至报告发布时间,未有杀软检出。


样本分析

诱饵“2019 年第一季度工作方向附表.rar”为一压缩文件,解压得到“2019 年第一季度工作方向附表.EXE” 和“wwlib.dll”,其中“2019 年第一季度工作方向附表.EXE”为包含有效数字签名的 Word 2007 可执行程序, 打开会加载同目录下的 wwlib.dll,wwlib.dll 被设置了系统和隐藏属性。相关截图如下:

1、 下面对 wwlib.dll 进行分析

1) wwlib.dll 的基本信息如下:

2)  DLL 通过白利用被加载之后,会获取系统盘符,然后在“\ProgramData\360seMaintenance\”目录写 入“chrome_elf.dll”和“360se.exe”文件,其中“360se.exe”是带数字签名的白文件,相关截图如下:

3)  恶意“wwlib.dll”还会根据 EXE 程序名构造“2019 年第一季度工作方向附表.docx”字符串,然后 在系统 Temp 目录写入带密码的 docx 文档,用于伪装自己是一个正常的文档,相关代码:

4) 如果首次运行,则会在注册表目录 “Software\\Classes\\”创建“.doc”和“.docx”项,然后调用 WORD程序打开释放到 Temp 目录的.docx 文件,相关代码:

5) 第二次运行查询“Software\\Classes\\”存在“.doc”和“.docx”,则执行“360se.exe”文件,并附加Temp 目录释放的 docx 文件路径为参数,相关代码:

2、 下面对 chrome_elf.dll 进行分析

1) chrome_elf.dll 基本信息如下:

2) chrome_elf.dll 被 360se.exe 加载,然后在 DLL 初始化中,解析参数,然后调用 WORD 程序打开参 数中的文件,并调用 CryptAPI 函数解密内存中的 URL 链接, 解密后的 URL 为 “https://officewps.net/ultra.jpg”,部分 CryptAPI 函数代码:

3)  然后“360se.exe”调用 DLL 中的“SignalInitializeCrashReporting”执行判断是否存在“360se.exe” 进程,如果不存在则不执行恶意代码,相关代码:

4)  然后从 https://officewps.net/ultra.jpg 下载 payload 进行第三阶段攻击,相关代码:

5)  下载完成后拷贝 payload 到新申请内存空间,跳转到 payload 的 0 偏移位置执行,相关代码:

3、 第三阶段“ultra.jpg”分析

1)  ultra.jpg 基本信息如下:

2)  首先 payload 的 Shellcode 会获取相关 API 地址,相关 API 截图:

3)  然后循环解密 payload 中的数据,解密完成后是一个 DLL 版的 Cobalt Strike Beacon 后门。

4)  调用 CreateThread 创建线程,从解密出来的 0 偏移位置执行,进行反射加载 DLL。

5)  连接 C2 地址和请求 URL 进行上线请求,C2 通信使用 Safebrowsing 可延展 C2 配置。

6) 该后门包含的 C2 命令多达 76 个,具体包含进程注入、文件创建、服务创建、文件释放等等。

   

关联分析

根据此次攻击相关的 TTPs 和背景信息,我们认为背后攻击者为 APT32。此次攻击与此前的一些攻击的对比如下:

文章来源微步在线报告,宅客频道编辑

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

薅羊毛 | 黑客武器库威胁猎人

剁手赚钱 0Day攻击 | 暗黑女主播

踩雷 |嗑药坐牢重归正途 | 内鬼

脑内植入


真相篇

拼多多将追回“薅羊毛”订单,包括已充话费和Q币订单

75条笑死人的知乎神回复,用60行代码就爬完了

不剁手也吃土?可能是挖矿木马掏空你的钱包

游戏黑产:我还在空中跳伞,就被人用拳头远程打死

都8012年了,英国卫生部门居然还在为“擦屁股”

与病毒名称相似,“捏脸”游戏ZEPETO涉嫌窃听?

扎心!Tumblr推AI鉴黄计划夺老司机“珍爱”

我报了个税,隐私就被扒光了?

黑客骗局:Ins网红落难记


人物篇


专访:“蹲坑神器”与它背后男人们不得不说的故事

磨刀人王伟:我前期砸了两个亿做这套方案

白帽汇的赵武摘掉了他的“帽子”|专访

数字联盟刘晶晶:四年只做一个产品

长亭科技陈宇森:我打破的四个质疑

薛锋:我眼中的威胁情报三年之变

“无锁不开”女黑客——skye

知道创宇赵伟:怼死“空气币”

李均:我眼中的黑客精神

风宁:自由追风者

更多精彩正在整理中……


---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


登录查看更多
0

相关内容

异质信息网络分析与应用综述,软件学报-北京邮电大学
华为发布《自动驾驶网络解决方案白皮书》
专知会员服务
125+阅读 · 2020年5月22日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
新时期我国信息技术产业的发展
专知会员服务
69+阅读 · 2020年1月18日
【大数据白皮书 2019】中国信息通信研究院
专知会员服务
137+阅读 · 2019年12月12日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
2018年低轨通信卫星行业研究报告
行业研究报告
8+阅读 · 2019年4月25日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
网络安全态势感知
计算机与网络安全
25+阅读 · 2018年10月14日
智慧停车行业深度研究与分析报告
智能交通技术
4+阅读 · 2018年3月20日
天津市智能交通专项行动计划
智能交通技术
8+阅读 · 2018年1月18日
海康威视AI Cloud助力平安城市4.0建设
海康威视
7+阅读 · 2018年1月17日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Arxiv
5+阅读 · 2018年5月16日
VIP会员
相关VIP内容
异质信息网络分析与应用综述,软件学报-北京邮电大学
华为发布《自动驾驶网络解决方案白皮书》
专知会员服务
125+阅读 · 2020年5月22日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
新时期我国信息技术产业的发展
专知会员服务
69+阅读 · 2020年1月18日
【大数据白皮书 2019】中国信息通信研究院
专知会员服务
137+阅读 · 2019年12月12日
相关资讯
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
2018年低轨通信卫星行业研究报告
行业研究报告
8+阅读 · 2019年4月25日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
网络安全态势感知
计算机与网络安全
25+阅读 · 2018年10月14日
智慧停车行业深度研究与分析报告
智能交通技术
4+阅读 · 2018年3月20日
天津市智能交通专项行动计划
智能交通技术
8+阅读 · 2018年1月18日
海康威视AI Cloud助力平安城市4.0建设
海康威视
7+阅读 · 2018年1月17日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Top
微信扫码咨询专知VIP会员