海莲花”,又名APT32和OceanLotus,是越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。
2017年下半年至今,微步在线发布了《“海莲花”团伙的最新动向分析》、《“海莲花”团伙专用后门Denis最新变种分析》、《微步在线发现“海莲花”团伙最新macOS后门》和《“海莲花”团伙本月利用Office漏洞发起高频攻击》等多篇报告,披露了APT32的相关攻击活动。近期,微步在线黑客画像系统监控到该组织多平台的攻击活动,经分析发现:
APT32的攻击活动仍在持续,近期中国、韩国、美国和柬埔寨等国金融、政府和体育等行业相关目标遭到定向攻击。
攻击平台包含Windows和macOS,攻击手法相比之前变化不大,除都使用了伪装Word文档的可执行程序之外,针对Windows平台的还利用了CVE-2017-11882漏洞。
针对Windows平台的木马部分利用了白加黑技术,部分利用了Regsvr32.exe加载执行OCX可执行文件。此外,相比之前多利用Symantec公司签名的程序进行白加黑利用来投递Denis木马,APT32近期增加了对Intel和Adobe公司签名程序的白加黑利用。
针对macOS平台的木马相较之前其Dropper和Payload加了壳和虚拟机检测。
微步在线通过对相关样本、IP和域名的溯源分析,共提取22条相关IOC,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁情报订阅、API等均已支持此次攻击事件和团伙的检测。
详情
微步在线长期跟踪全球150多个黑客组织。近期,微步在线监测到APT32针对中国、韩国、美国和柬埔寨等国金融、政府和体育等行业相关目标的多平台攻击活动。 该组织近期手法与之前相比变化不大,其中针对Windows平台的攻击主要利用包含CVE-2017-11882漏洞的doc文档结合白加黑利用和图标伪装为Word的RAR自解压文件来投递其特种木马Denis,针对macOS平台的亦同样是将macOS应用程序伪装为Word文档进行木马投递。
与此前一样,诱饵文档内容都是模糊图片,例如Scanned Investment Report-July 2018.ⅾocx:
样本分析
微步在线在8月份监控到多起APT32的攻击活动,涉及Windows和macOS平台。相关分析如下:
Windows样本
漏洞样本
在Office漏洞利用方面,APT32近期主要利用CVE-2017-11882漏洞投递Denis木马。《“海莲花”团伙本月利用Office漏洞发起高频攻击》对CVE-2017-11882漏洞利用做过详细分析,详情可查阅相关报告。近期相关的部分漏洞样本:
SHA256
文件名
诱饵内容
C2
攻击手法
e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189
July , 2018.doc
模糊图片
ourkekwiciver.comdieordaunt.comstraliaenollma.xyz
CVE-2017-11882加Intel白利用
0abe0a3b1fd81272417471e7e5cc489b234a9f84909b019d5f63af702b4058c5
FW Report on demonstration of former CNRP in Republic of Korea.doc
模糊图片
andreagahuvrauvin.combyronorenstein.comstienollmache.xyz
CVE-2017-11882加Adobe白利用
以e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189为例,该样本在微步在线云沙箱的分析结果如下图所示,从“云沙箱-威胁情报IOC”可发现此样本相关C2已被识别为APT32所有。
多引擎检测:
执行流程:
威胁情报IOC
RAR自解压样本
APT32经常使用伪装成Word文档的可执行程序作为投递木马的载体,通常还会结合RLO手法迷惑受害者。近期伪装成Word文档的部分RAR自解压文件:
SHA256
文件名
诱饵内容
C2
攻击手法
58e294513641374ff0b42b7c652d3b4a471e8bde8664a79311e4244be0546df4
Sum for July 2018.exe
模糊图片
andreagbridge.comillagedrivestralia.xyzbyronorenstein.com
RAR自解压,利用regsvr32.exe运行OCX
78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064
feedback, Rally in USA from July 28-29, 2018.exe
模糊图片
stienollmache.xyzchristienollmache.xyzlauradesnoyers.com
RAR自解压,利用regsvr32.exe运行OCX
以样本78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064为例。使用WinRAR查看该文件,可发现该自解压文件运行后会通过regsvr32.exe加载执行释放的OCX可执行文件,然后打开诱饵文档迷惑受害者,如下图:
该样本在微步在线云沙箱的分析结果如下图所示,从“云沙箱-威胁情报IOC”亦可发现此样本相关C2已被识别为APT32所有。
| 
