當前位置:
首頁 > 最新 > 「海蓮花」團伙近期利用Office漏洞發起高頻攻擊

「海蓮花」團伙近期利用Office漏洞發起高頻攻擊

最新 05-17

TAG:高級可持續攻擊、APT32、海蓮花、漏洞、Denis、CVE-2017-11882、CVE-2017-8570

TLP:白

日期:2018-04-27

概要

「海蓮花」,又名APT32和OceanLotus,是越南背景的黑客組織。該組織至少自2012年開始活躍,長期針對中國能源相關企業、海事機構、海域建設部門、科研院所和航運企業等進行網路攻擊。除中國外,「海蓮花」的目標還包含全球的政府、軍事機構和大型企業,以及本國的媒體、人權和公民社會等相關的組織和個人。

微步在線長期監控著「海蓮花」的活動動向,曾發布多份關於該團伙的分析報告《「海蓮花」團伙的最新動向分析》、《「海蓮花」團伙專用後門Denis最新變種分析》和《微步在線發現「海蓮花」團伙最新macOS後門》。微步在線監測發現,2018年4月份以來,該團伙攻擊活動異常頻繁,並開始利用高危Office漏洞來投遞其常用特種木馬Denis,具體內容包含:

據微步在線威脅情報雲監測發現,本月APT32 的攻擊活動異常頻繁,中國能源和金融相關企業,以及越南周邊的柬埔寨等國的相關目標遭到攻擊,其中國內是重災區。

2018年4月以來,APT32開始大量利用CVE-2017-11882和CVE-2017-8570等Office漏洞投遞其特種木馬Denis,攻擊過程中利用了「白利用」技術。

APT32在2018年4月5日前後集中註冊了幾十個域名,並開始使用後綴為info、club和xyz的頂級域名,且其中部分已被用於真實的攻擊。

鑒於此次攻擊行動相比之前,目標更廣、頻次更高,建議國內相關行業(金融、能源和政府)及重點單位及時排查。

微步在線通過對相關樣本、IP和域名的溯源分析,共提取59條相關IOC,可用於威脅情報檢測。微步在線的威脅檢測響應平台(TDP)、威脅情報訂閱、API等均已支持此次攻擊事件和團伙的檢測。

詳情

微步在線長期跟蹤全球100餘黑客組織。近期,微步在線監測到APT32的活動加劇,持續針對中國能源和金融等相關企業,以及越南周邊的柬埔寨等國的相關目標發起攻擊。微步在線的狩獵系統捕獲了一批APT32的最新攻擊樣本,分析發現這些樣本利用了CVE-2017-11882和CVE-2017-8570漏洞投遞其專有的特種木馬Denis,相關樣本如下:

Denis是APT32最常用的特種木馬,是一個全功能的後門,包含多種對抗技術,其特徵是使用DNS隧道技術與其C2通信。Denis此前主要通過雙擴展,虛假Word、Excel、WPS和PDF圖標,虛假更新(Adobe、FireFox、Google),以及字體相關工具誘導受害者點擊可執行文件進行傳播。之前的一些誘餌文件的文件名和圖標如下:

樣本分析

以最新捕獲的誘餌文檔「Document_GPI Invitation-UNSOOC China.doc」為例進行分析,該文檔包含CVE-2017-11882漏洞利用,觸發漏洞利用之後會交付APT32的特種木馬Denis。

1. 該樣本的基本信息如下:

2.該樣本在微步雲沙箱的分析結果如下圖:

微步在線雲沙箱檢測地址:

3.該文檔包含CVE-2017-11882漏洞利用,打開後會顯示一模糊圖片來迷惑受害者,如下圖:

4.該誘餌文檔觸發CVE-2017-11882漏洞後的整體執行流程如下圖,該漏洞的相關分析見附錄的「漏洞分析」。

打開文檔觸發漏洞之後會執行shellcode1,shellcode1會繼續執行shellcode2,shellcode2最終會在C: Program Files目錄下創建一個隱藏文件夾Microsoft-Windows-DiskDiagnosticResolver_2021325962,向該目錄釋放三個文件:MicrosoftWindowsDiskDiagnosticResolver.exe、rastls.dll和OUTLFLTR.DAT,然後啟動MicrosoftWindowsDiskDiagnosticResolver.exe。MicrosoftWindowsDiskDiagnosticResolver.exe是一個包含Symantec簽名的白文件,啟動後會載入同目錄下的惡意rastls.dll,這是典型的「白利用」技術。rastls.dll最終會交付APT32的特種木馬Denis,相關「白利用」技術和Denis木馬的詳細分析見微步在線發布的報告《「海蓮花」團伙專用後門Denis最新變種分析》。

關聯分析

微步在線監測發現,近期APT32 的攻擊活動加劇,中國能源和金融相關企業,以及越南周邊的柬埔寨等國的相關目標遭到定向攻擊,其中國內是重災區。

使用x.threatbook.cn對straliaenollma.xyz、andreagahuvrauvin.com和byronorenstein.com進行關聯發現,發現三者的註冊信息都使用了隱私保護,於近期註冊且註冊時間相同。在一個木馬中使用多個註冊時間相近(多為同一天,且域名服務商多相同)的域名作為C2一直是APT32的習慣。

此外,使用x.threatbook.cn分析另一CVE2017-11882漏洞利用樣本的C2 stopherau.com,發現其早已被微步在線識別:

根據微步在線威脅情報雲數據,APT32近期(2018/04/04-2018/04/06)註冊了幾十個域名用作C2,且開始大量註冊TLD為club、xyz和info等的域名,詳細IOC見附錄。其中部分在註冊之後不到兩周就被用於攻擊,這也側面說明APT32近期攻擊活動極為活躍。

附錄


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 安全威脅情報 的精彩文章:

思科交換機Smart Install Client高危漏洞正被大範圍利用
你的Cisco路由器設備正在被攻擊!

TAG:安全威脅情報 |