攻擊我國政府的海蓮花又來幺蛾子

本文作者：又田

2019-04-24 18:30

導語：自活躍以來，APT32 一直持續針對我國進行網絡攻擊。

“海蓮花”，又名 APT32 和 OceanLotus，是越南背景的黑客組織。

自2012年活躍以來，長期針對中國能源相關行業、海事機構、海域建設部門、科研院所和航運企業等進行網絡攻擊。除中國外，“海蓮花”的目標還包含全球的政府、軍事機構和大型企業，以及本國的媒體、人權和公民社會等相關的組織和個人。

在攻擊過程中，APT32 一直在嘗試不同方法以實現在目標系統上執行惡意代碼和繞過安全檢測，其中經常使用的包含白利用和 C2 流量偽裝等。

近日，微步在線狩獵系統捕獲了一個 APT32 針對我國進行攻擊的誘餌，該誘餌使用了兩層白利用進行 DLL 劫持，第一層為 Word 白利用，第二層為 360 安全瀏覽器白利用，最終投遞的木馬為 Cobalt Strike Beacon 后門，C2通信使用 Safebrowsing 可延展 C2 配置。

誘餌“2019 年第一季度工作方向附表.rar”整體攻擊流程如下:

攻擊我國政府的海蓮花又來幺蛾子

分析后發現：

誘餌文件名為“2019 年第一季度工作方向附表.rar”，該誘餌在攻擊過程中使用了兩層白利用進行 DLL劫持，第一層為 Word 白利用，第二層為 360 安全瀏覽器白利用。兩層白利用是 APT32 新的攻擊手法，截至報告時間，該誘餌尚無殺軟檢出。
此次攻擊最終投遞的木馬為 Cobalt Strike Beacon 后門，具備進程注入、文件創建、服務創建、文件釋放等功能，C2 通信使用 Safebrowsing 可延展 C2 配置。
微步在線通過對相關樣本、IP 和域名的溯源分析，共提取 5 條相關 IOC，可用于威脅情報檢測。

截至報告發布時間，未有殺軟檢出。

樣本分析

誘餌“2019 年第一季度工作方向附表.rar”為一壓縮文件，解壓得到“2019 年第一季度工作方向附表.EXE” 和“wwlib.dll”，其中“2019 年第一季度工作方向附表.EXE”為包含有效數字簽名的 Word 2007 可執行程序，打開會加載同目錄下的 wwlib.dll，wwlib.dll 被設置了系統和隱藏屬性。相關截圖如下:

攻擊我國政府的海蓮花又來幺蛾子

1、下面對 wwlib.dll 進行分析

1) wwlib.dll 的基本信息如下:

攻擊我國政府的海蓮花又來幺蛾子

2) DLL 通過白利用被加載之后，會獲取系統盤符，然后在“\ProgramData\360seMaintenance\”目錄寫入“chrome_elf.dll”和“360se.exe”文件，其中“360se.exe”是帶數字簽名的白文件，相關截圖如下：

攻擊我國政府的海蓮花又來幺蛾子

3) 惡意“wwlib.dll”還會根據 EXE 程序名構造“2019 年第一季度工作方向附表.docx”字符串，然后在系統 Temp 目錄寫入帶密碼的 docx 文檔，用于偽裝自己是一個正常的文檔，相關代碼：

攻擊我國政府的海蓮花又來幺蛾子

4) 如果首次運行，則會在注冊表目錄 “Software\\Classes\\”創建“.doc”和“.docx”項，然后調用 WORD程序打開釋放到 Temp 目錄的.docx 文件，相關代碼：

攻擊我國政府的海蓮花又來幺蛾子

5) 第二次運行查詢“Software\\Classes\\”存在“.doc”和“.docx”，則執行“360se.exe”文件，并附加Temp 目錄釋放的 docx 文件路徑為參數，相關代碼：

攻擊我國政府的海蓮花又來幺蛾子

2、下面對 chrome_elf.dll 進行分析

1) chrome_elf.dll 基本信息如下:

攻擊我國政府的海蓮花又來幺蛾子

2) chrome_elf.dll 被 360se.exe 加載，然后在 DLL 初始化中，解析參數，然后調用 WORD 程序打開參數中的文件，并調用 CryptAPI 函數解密內存中的 URL 鏈接，解密后的 URL 為 “https://officewps.net/ultra.jpg”，部分 CryptAPI 函數代碼：

攻擊我國政府的海蓮花又來幺蛾子