“海莲花”,又名APT32和OceanLotus,是越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源相关企业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。
微步在线长期监控着“海莲花”的活动动向,曾发布多份关于该团伙的分析报告《“海莲花”团伙的最新动向分析》、《“海莲花”团伙专用后门Denis最新变种分析》和《微步在线发现“海莲花”团伙最新macOS后门》。微步在线监测发现,2018年4月份以来,该团伙攻击活动异常频繁,并开始利用高危Office漏洞来投递其常用特种木马Denis,具体内容包含:
据微步在线威胁情报云监测发现,本月APT32 的攻击活动异常频繁,中国能源和金融相关企业,以及越南周边的柬埔寨等国的相关目标遭到攻击,其中国内是重灾区。
2018年4月以来,APT32开始大量利用CVE-2017-11882和CVE-2017-8570等Office漏洞投递其特种木马Denis,攻击过程中利用了“白利用”技术。
APT32在2018年4月5日前后集中注册了几十个域名,并开始使用后缀为info、club和xyz的顶级域名,且其中部分已被用于真实的攻击。
鉴于此次攻击行动相比之前,目标更广、频次更高,建议国内相关行业(金融、能源和政府)及重点单位及时排查。
微步在线通过对相关样本、IP和域名的溯源分析,共提取59条相关IOC,可用于威胁情报检测。微步在线的威胁检测响应平台(TDP)、威胁情报订阅、API等均已支持此次攻击事件和团伙的检测。
详情
微步在线长期跟踪全球100余黑客组织。近期,微步在线监测到APT32的活动加剧,持续针对中国能源和金融等相关企业,以及越南周边的柬埔寨等国的相关目标发起攻击。微步在线的狩猎系统捕获了一批APT32的最新攻击样本,分析发现这些样本利用了CVE-2017-11882和CVE-2017-8570漏洞投递其专有的特种木马Denis,相关样本如下:
SHA256
漏洞
C2
文件名
e5c766ad580b5bc5f74acc8d2f5dd028c11495d2ce503de7c7a294f94583849d
CVE-2017-11882
straliaenollma.xyz andreagahuvrauvin.com byronorenstein.com
Document_GPI Invitation-UNSOOC China.doc
0d1577802d4560b9ba184a2d13570ba28ed0318eee520f2f7a6c5ef238671dd9
CVE-2017-11882
stopherau.com orinneamoure.com ochefort.com
3a3bc31afcf2ec82ff9ac0016ce47e10833227665ab056117520bdf097525c63
CVE-2017-8570
tsworthoa.com earlase.com aximilian.com
abfcba26e50a88c2ce507212b15d2ee24c28fc8b28edeaae27f70faaf6fae700
CVE-2017-8570
orinneamoure.com ochefort.com icmannaws.com
Monthly Report 03.2018.doc
Denis是APT32最常用的特种木马,是一个全功能的后门,包含多种对抗技术,其特征是使用DNS隧道技术与其C2通信。Denis此前主要通过双扩展,虚假Word、Excel、WPS和PDF图标,虚假更新(Adobe、FireFox、Google),以及字体相关工具诱导受害者点击可执行文件进行传播。之前的一些诱饵文件的文件名和图标如下:
样本分析
以最新捕获的诱饵文档“Document_GPIInvitation-UNSOOC China.doc”为例进行分析,该文档包含CVE-2017-11882漏洞利用,触发漏洞利用之后会交付APT32的特种木马Denis。
1、 该样本的基本信息如下:
文件类型
rtf
文件大小
3139367 字节
文件名
Document_GPI Invitation-UNSOOC China.doc
SHA256
e5c766ad580b5bc5f74acc8d2f5dd028c11495d2ce503de7c7a294f94583849d
SHA1
e2d949cf06842b5f7ae6b2dffaa49771a93a00d9
MD5
02ae075da4fb2a6d38ce06f8f40e397e
2、 该样本在微步云沙箱的分析结果如下图:
https://s.threatbook.cn/report/file/e5c766ad580b5bc5f74acc8d2f5dd028c11495d2ce503de7c7a294f94583849d/?env=win7_sp1_enx86_office2010
3、 该文档包含CVE-2017-11882漏洞利用,打开后会显示一模糊图片来迷惑受害者,如下图:
4、 该诱饵文档触发CVE-2017-11882漏洞后的整体执行流程如下图,该漏洞的相关分析见附录的“漏洞分析”。
打开文档触发漏洞之后会执行shellcode1,shellcode1会继续执行shellcode2,shellcode2最终会在C:\ Program Files\目录下创建一个隐藏文件夹Microsoft-Windows-DiskDiagnosticResolver_2021325962,向该目录释放三个文件:MicrosoftWindowsDiskDiagnosticResolver.exe、rastls.dll和OUTLFLTR.DAT,然后启动MicrosoftWindowsDiskDiagnosticResolver.exe。
MicrosoftWindowsDiskDiagnosticResolver.exe是一个包含Symantec签名的白文件,启动后会加载同目录下的恶意rastls.dll,这是典型的“白利用”技术。rastls.dll最终会交付APT32的特种木马Denis,相关“白利用”技术和Denis木马的详细分析见微步在线发布的报告《“海莲花”团伙专用后门Denis最新变种分析》。
| 
