APT组织简介
OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织,该组织也是针对中国境内的最活跃的APT组织之一,该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料,通过追踪它这些年的攻击手法和攻击目标,OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织
初期的OceanLotus特种木马技术并不复杂,容易发现和查杀,2014年OceanLotus特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗,随后OceanLotus特种木马又开始转向云控技术,攻击的危险性、不确定性与木马识别查杀的难度都大大增强
OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击,NSA武器库曝光后,还使用了永恒系列漏洞进行攻击,投递的攻击武器种类比较多,RTA包括:Denis、CobaltStrike、PHOREAL、salgorea、类gh0st、Ratsnif等
2019年OceanLotus仍然使用电子邮件投递诱饵的方式实施鱼叉攻击,投递的诱饵类型多种多样,有白加黑、LNK、CHM、漏洞利用Office文件,WinRAR RCE漏洞、文档图标的EXE等,在启动方式上,通过修改DOC、TXT等文档文件类型关联程序的方式来实现开机自启动,并通过在PE文件资源中添加大量的垃圾数据,扩充程序体积进行免杀,利用COM组件添加注册表从而绕过安全软件主动防御的技术等
APT组织加载恶意样本的方式多种多样,其中白加黑的加载方式是一种常用的APT攻击手法,也是海莲花APT组织最常用的APT攻击手法之一,统计最近几年国内发布的OceanLotus(海莲花)APT组织报告中的白+黑程序名,如下所示:
APT样本分析
此次发现的海莲花APT组织最新的攻击样本,同样使用了白+黑的加载方式,样本伪装成DOC文档图标,EXE后缀的自解压程序,如下所示:
运行样本之后,释放白+黑程序,并启动白程序,然后利用升级程序MicrosoftUpdate.exe,加载SoftwareUpdateFiles.Resources目录下的恶意程序SoftwareUpdateFilesLocalized.dll,如下所示:
启动之后的MicrosoftUpdate.exe进程,如下所示:
SoftwareUpdateFilesLocalized.dll会读取目录下的SoftwareUpdateFiles.locale文件,然后解密执行,如下所示:
读取SoftwareUpdateFiles.locale文件的数据内容,如下所示:
解密之后的数据,如下所示:
执行解密后的数据代码,如下所示:
获取一些关键函数地址,如下所示:
通过VirtualAlloc分配相应的内存空间,如下所示:
通过RelDecompressBuffer解压缩数据到分配的内存空间,如下所示:
利用解压缩后的数据,在%TEMP%目录下生成相应的DOC文档,并打开文档迷惑受害者,如下所示:
生成的DOC文档,如下所示:
打开生成的假文档之后,后面的代码使用了大量的垃圾代码填充,混淆方式,通过动态调试跟踪,通过VirtualAlloc分配内存空间,如下所示:
然后利用RtlZeroMemory/RtlMoveMemory填充恶意代码,如下所示:
解密填充的恶意代码,如下所示:
执行解密后的恶意代码,如下所示:
通过分析解密出来的木马程序应该为此前APT32(海莲花组织)使用的DenesRAT木马程序,黑客的域名服务器为tripplekill.mentosfontcmb.com,发现微步在线已经更新此域名信息,如下所示:
APT威胁情报
HASH
7579AEDE6A223C96231AD30472A060DB
79F2765F4F7DE8B07204F317BD383571
域名
tripplekill.mentosfontcmb.com
IP
139.162.111.226
