APT32“海蓮花”近期多平臺攻擊活動:熟悉的手段,全新的IOC
前言
“海蓮花”,又名APT32和OceanLotus,是越南背景的黑客組織。該組織至少自2012年開始活躍,長期針對中國能源相關行業、海事機構、海域建設部門、科研院所和航運企業等進行網路攻擊。除中國外,“海蓮花”的目標還包含全球的政府、軍事機構和大型企業,以及本國的媒體、人權和公民社會等相關的組織和個人。
2017年下半年至今,微步線上釋出了《“海蓮花”團伙的最新動向分析》、《“海蓮花”團伙專用後門Denis最新變種分析》、《微步線上發現“海蓮花”團伙最新macOS後門》和《“海蓮花”團伙本月利用Office漏洞發起高頻攻擊》等多篇報告,披露了APT32的相關攻擊活動。近期,微步線上黑客畫像系統監控到該組織多平臺的攻擊活動,經分析發現:
APT32的攻擊活動仍在持續,近期中國、韓國、美國和柬埔寨等國金融、政府和體育等行業相關目標遭到定向攻擊。
攻擊平臺包含Windows和macOS,攻擊手法相比之前變化不大,除都使用了偽裝Word文件的可執行程式之外,針對Windows平臺的還利用了CVE-2017-11882漏洞。
針對Windows平臺的木馬部分利用了白加黑技術,部分利用了Regsvr32.exe載入執行OCX可執行檔案。此外,相比之前多利用Symantec公司簽名的程式進行白加黑利用來投遞Denis木馬,APT32近期增加了對Intel和Adobe公司簽名程式的白加黑利用。
針對macOS平臺的木馬相較之前其Dropper和Payload加了殼和虛擬機器檢測。
微步線上通過對相關樣本、IP和域名的溯源分析,共提取22條相關IOC/">IOC,可用於威脅情報檢測。微步線上的威脅情報平臺(TIP)、威脅情報訂閱、API等均已支援此次攻擊事件和團伙的檢測。
詳情
微步線上長期跟蹤全球150多個黑客組織。近期,微步線上監測到APT32針對中國、韓國、美國和柬埔寨等國金融、政府和體育等行業相關目標的多平臺攻擊活動。 該組織近期手法與之前相比變化不大,其中針對Windows平臺的攻擊主要利用包含CVE-2017-11882漏洞的doc文件結合白加黑利用和圖示偽裝為Word的RAR自解壓檔案來投遞其特種木馬Denis,針對macOS平臺的亦同樣是將macOS應用程式偽裝為Word文件進行木馬投遞。
與此前一樣,誘餌文件內容都是模糊圖片,例如Scanned Investment Report-July 2018.ⅾocx:
樣本分析
微步線上在8月份監控到多起APT32的攻擊活動,涉及Windows和macOS平臺。相關分析如下:
Windows樣本
漏洞樣本
在Office漏洞利用方面,APT32近期主要利用CVE-2017-11882漏洞投遞Denis木馬。《“海蓮花”團伙本月利用Office漏洞發起高頻攻擊》對CVE-2017-11882漏洞利用做過詳細分析,詳情可查閱相關報告。近期相關的部分漏洞樣本:
| SHA256 | 檔名 | 誘餌內容 | C2 | 攻擊手法 |
|---|---|---|---|---|
| e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189 | July , 2018.doc | 模糊圖片 | ourkekwiciver.comdieordaunt.comstraliaenollma.xyz | CVE-2017-11882加Intel白利用 |
| 0abe0a3b1fd81272417471e7e5cc489b234a9f84909b019d5f63af702b4058c5 | FW Report on demonstration of former CNRP in Republic of Korea.doc | 模糊圖片 | andreagahuvrauvin.combyronorenstein.comstienollmache.xyz | CVE-2017-11882加Adobe白利用 |
以 e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189 為例,該樣本在微步線上雲沙箱的分析結果如下圖所示,從“雲沙箱-威脅情報IOC”可發現此樣本相關C2已被識別為APT32所有。
多引擎檢測:
執行流程:
威脅情報IOC
RAR自解壓樣本
APT32經常使用偽裝成Word文件的可執行程式作為投遞木馬的載體,通常還會結合RLO手法迷惑受害者。近期偽裝成Word文件的部分RAR自解壓檔案:
| SHA256 | 檔名 | 誘餌內容 | C2 | 攻擊手法 |
|---|---|---|---|---|
| 58e294513641374ff0b42b7c652d3b4a471e8bde8664a79311e4244be0546df4 | Sum for July 2018.exe | 模糊圖片 | andreagbridge.comillagedrivestralia.xyzbyronorenstein.com | RAR自解壓,利用regsvr32.exe執行OCX |
| 78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064 | feedback, Rally in USA from July 28-29, 2018.exe | 模糊圖片 | stienollmache.xyzchristienollmache.xyzlauradesnoyers.com | RAR自解壓,利用regsvr32.exe執行OCX |
以樣本 78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064 為例。使用WinRAR檢視該檔案,可發現該自解壓檔案執行後會通過regsvr32.exe載入執行釋放的OCX可執行檔案,然後開啟誘餌文件迷惑受害者,如下圖:
該樣本在微步線上雲沙箱的分析結果如下圖所示,從“雲沙箱-威脅情報IOC”亦可發現此樣本相關C2已被識別為APT32所有。
執行流程:
威脅情報IOC
macOS樣本
微步線上近期還捕獲了多個APT32針對macOS平臺的特種木馬,下文以“Scanned Investment Report-July 2018.ⅾ[footnoteRef:1]ocx”為例進行分析。
該樣本的基本資訊如下:
| 檔案型別 | Zip檔案,macOS app |
|---|---|
| 檔案大小 | 454,967 位元組 |
| 檔名 | Scanned Investment Report-July 2018.ⅾocx |
| MD5 | a3d09d969df1742a7cc9511f07e9b44b |
| SHA1 | 01ad8b20337da00d1d458ba93f98dc996a97a71f |
| SHA256 | 68f7ca2f1fa9f0b5151bec686144eafc13a1e2266dcfc95fafc3104f0a96b802 |
該樣本為字尾偽裝成為.docx的macOS應用程式,一旦雙擊執行則會執行\Contents\MacOS\下的Scanned Investment Report-July 2018可執行檔案,導致系統被感染。該可執行檔案是一個Dropper,相比此前《微步線上發現“海蓮花”團伙最新macOS後門》中分析的樣本,該Dropper和其釋放的Payload都加了一個簡單的殼,Payload相比之前也增加了虛擬機器檢測。
樣本Scanned Investment Report-July 2018執行後判斷啟動許可權,根據許可權釋放檔案到不同目錄,然後設定隱藏屬性和修改檔案建立時間。其中 mouseevents 和mediaagentd屬同一檔案,為惡意Payload程式,plist檔案的功能是實現對應Payload的開機自啟 。
| 許可權 | 釋放檔案 |
|---|---|
| root | /Library/Mouse/Primary/mouseevents /Library/LaunchDaemons/com.apple.mouses.event.plist |
| 非root | /Users/boy/Library/Video/Download/Updater/mediaagentd/Users/boy/Library/LaunchAgents/com.apple.media.agentd.plist |
修改建立時間相關命令如下:
com.apple.mouses.event.plist被設定為隱藏屬性,其建立時間被修改為2017-11-22 00:33:43,檔案內容如下:
樣本釋放的mouseevents屬後門程式,其核心功能是接受C2控制執行各種操作,具體包含上傳下載和刪除檔案、執行shell命令等等。相關分析如下:
1、mouseevents首先會通過檢測系統資訊來做反虛擬機器檢測。通過內建關鍵字vmware、virtualbox、parallels來檢測程式是否執行在虛擬環境中。使用的shell命令如下:
2、如檢測到執行在虛擬環境中,則通過shell命令刪除其父程式所在的目錄。但有趣的是,即使檢測到自身執行在虛擬機器環境中也不會退出,只會不斷的迴圈檢測執行環境。使用shell命令如下:
3、如檢測到不在虛擬環境中,則會隨機休眠一段時間。
4、然後通過shell命令獲取系統版本、使用者名稱、計算機名和系統架構體系等資訊。相關程式碼和指令如下:
| Shell命令 | 功能 |
|---|---|
| ioreg -rd1 -c IOPlatformExpertDevice | awk ‘/IOPlatformSerialNumber/ { split($0, line, \”\\\”\”); printf(\”%s\”, line[4]); }’ 2>&1″ | 獲取IOPlatformUUID |
| system_profiler SPHardwareDataType 2>/dev/null | awk ‘/Memory/ {split($0,line, \”:\”); | 獲取系統記憶體大小 |
| sw_vers –productVersion | 獲取系統版本 |
| uname –m | 獲取處理器架構 |
| scutil –get ComputerName | 獲取使用者名稱 |
5、在獲取系統資訊之後,程式會解密出C2並拼接“/store/ads/modal.css”作為上線的URL,拼接的URL具有一定的欺騙性。上線傳送的內容包含安裝時間、安裝路徑、PID、是否root許可權、Arch、計算機名稱、使用者名稱和系統版本等資訊。
6、該後門內建3個C2域名,執行時按順序請求連線,若連線失敗超過5次,則會解密下一個域名並嘗試連線。如第一個域名就上線成功,則不會解密之後的域名。該樣本內建的C2域名為web.dalalepredaa.com、p12.alerentice.com和rio.imbandaad.com。C2的解密演算法為AES256,解密key如下:
7、程式通過設定一個全域性變數的值來判斷選取哪個域名作為上線域名,通過curl模組傳送網路連線,通過返回值來判斷是否獲取下一個C2。
8、一旦上線成功,程式會在隨機等待一段時間之後向{C2 domain}/appleauth/static/cssj/N252394295/widget/auth/app.css迴圈請求控制指令。
9、通過對C2返回的0x2F開始的0×10個位元組進行rol 2並異或0×13得到控制指令。
10、該後門包含7個控制指令,相關指令和對應功能如下表:
| 指令 | 功能 |
|---|---|
| 0xE8 | 結束自身程序 |
| 0xA2 | 將執行控制指令shell命令寫入檔案,執行,並上傳結果 |
| 0xAC | 執行控制指令shell命令,並上傳結果 |
| 0x3C | 下載檔案 |
| 0×23 | 同0x3C |
| 0×72 | 上傳檔案 |
| 0×48 | 刪除檔案 |
| 0×32 | 設定請求超時的時間 |
| 0×33 | 獲取檔案資訊 |
| 其他 | 不執行有效操作 |
關聯分析
微步線上威脅情報雲顯示,APT32的攻擊仍在持續,近期中國、韓國、美國和柬埔寨相關目標遭到定向攻擊。以微步線上狩獵系統捕獲的誘餌文件July , 2018.doc為例,該檔案建立時間為2018/08/06,野外發現時間為2018/08/14,結合檔名判斷,該樣本應是在8月中上旬被攻擊者使用。但其最終釋放的後門的C2早已被微步線上識別,這側面體現了威脅情報相較於傳統安全產品的優勢,可以在攻擊者發起攻擊之前就識別其攻擊資產。如下圖:
由於相關誘餌文件內容均為模糊圖片,難以通過文件內容進行受害者分析,此處主要以誘餌檔名結合首次發現地等資訊對受害者進行分析。
誘餌“FW Report on demonstration of former CNRP in Republic of Korea.doc”可譯為“關於在韓國的前CNRP示威活動的第一手報告.doc”。CNRP即柬埔寨救國黨,該黨被柬埔寨最高法院在2017年11月16裁決解散。該黨領袖莫淑華在2018年6月24領導在韓務工人員在韓國首爾舉行示威活動,要求日本不要承認柬埔寨大選(7月29日舉行)結果,以及釋放該黨主席根索卡。由此可推測,此次攻擊的受害者極有可能為柬埔寨政府或關注柬埔寨政事的相關目標。有趣的是,微步線上2017年8月份釋出的報告《“海蓮花”團伙的最新動向分析》曾披露相關針對柬埔寨選舉的攻擊活動,結合此前以2018柬埔寨展望會議為主題的攻擊,說明APT32持續在針對柬埔寨進行定向攻擊。
針對macOS平臺的誘餌名為“Scanned Investment Report-July 2018”,可譯為“掃描的2018年7月投資報告”,疑似針對金融相關目標。
誘餌“feedback, Rally in USA from July 28-29, 2018”,可譯為“從2018年7月28日至29日美國拉力賽的反饋”,疑似針對體育或汽車相關行業目標。
附錄
獲取本次報告IOC請訪問連結: ofollow" rel="nofollow,noindex" target="_blank">https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=785 。
*本文作者:Threatbook,轉載請註明來自FreeBuf.COM