「海蓮花」團伙近期利用Office漏洞發起高頻攻擊
TAG:高級可持續攻擊、APT32、海蓮花、漏洞、Denis、CVE-2017-11882、CVE-2017-8570
TLP:白
日期:2018-04-27
概要
「海蓮花」,又名APT32和OceanLotus,是越南背景的黑客組織。該組織至少自2012年開始活躍,長期針對中國能源相關企業、海事機構、海域建設部門、科研院所和航運企業等進行網路攻擊。除中國外,「海蓮花」的目標還包含全球的政府、軍事機構和大型企業,以及本國的媒體、人權和公民社會等相關的組織和個人。
微步在線長期監控著「海蓮花」的活動動向,曾發布多份關於該團伙的分析報告《「海蓮花」團伙的最新動向分析》、《「海蓮花」團伙專用後門Denis最新變種分析》和《微步在線發現「海蓮花」團伙最新macOS後門》。微步在線監測發現,2018年4月份以來,該團伙攻擊活動異常頻繁,並開始利用高危Office漏洞來投遞其常用特種木馬Denis,具體內容包含:
據微步在線威脅情報雲監測發現,本月APT32 的攻擊活動異常頻繁,中國能源和金融相關企業,以及越南周邊的柬埔寨等國的相關目標遭到攻擊,其中國內是重災區。
2018年4月以來,APT32開始大量利用CVE-2017-11882和CVE-2017-8570等Office漏洞投遞其特種木馬Denis,攻擊過程中利用了「白利用」技術。
APT32在2018年4月5日前後集中註冊了幾十個域名,並開始使用後綴為info、club和xyz的頂級域名,且其中部分已被用於真實的攻擊。
鑒於此次攻擊行動相比之前,目標更廣、頻次更高,建議國內相關行業(金融、能源和政府)及重點單位及時排查。
微步在線通過對相關樣本、IP和域名的溯源分析,共提取59條相關IOC,可用於威脅情報檢測。微步在線的威脅檢測響應平台(TDP)、威脅情報訂閱、API等均已支持此次攻擊事件和團伙的檢測。
詳情
微步在線長期跟蹤全球100餘黑客組織。近期,微步在線監測到APT32的活動加劇,持續針對中國能源和金融等相關企業,以及越南周邊的柬埔寨等國的相關目標發起攻擊。微步在線的狩獵系統捕獲了一批APT32的最新攻擊樣本,分析發現這些樣本利用了CVE-2017-11882和CVE-2017-8570漏洞投遞其專有的特種木馬Denis,相關樣本如下:
Denis是APT32最常用的特種木馬,是一個全功能的後門,包含多種對抗技術,其特徵是使用DNS隧道技術與其C2通信。Denis此前主要通過雙擴展,虛假Word、Excel、WPS和PDF圖標,虛假更新(Adobe、FireFox、Google),以及字體相關工具誘導受害者點擊可執行文件進行傳播。之前的一些誘餌文件的文件名和圖標如下:
樣本分析
以最新捕獲的誘餌文檔「Document_GPI Invitation-UNSOOC China.doc」為例進行分析,該文檔包含CVE-2017-11882漏洞利用,觸發漏洞利用之後會交付APT32的特種木馬Denis。
1. 該樣本的基本信息如下:
2.該樣本在微步雲沙箱的分析結果如下圖:
微步在線雲沙箱檢測地址:
3.該文檔包含CVE-2017-11882漏洞利用,打開後會顯示一模糊圖片來迷惑受害者,如下圖:
4.該誘餌文檔觸發CVE-2017-11882漏洞後的整體執行流程如下圖,該漏洞的相關分析見附錄的「漏洞分析」。
打開文檔觸發漏洞之後會執行shellcode1,shellcode1會繼續執行shellcode2,shellcode2最終會在C: Program Files目錄下創建一個隱藏文件夾Microsoft-Windows-DiskDiagnosticResolver_2021325962,向該目錄釋放三個文件:MicrosoftWindowsDiskDiagnosticResolver.exe、rastls.dll和OUTLFLTR.DAT,然後啟動MicrosoftWindowsDiskDiagnosticResolver.exe。MicrosoftWindowsDiskDiagnosticResolver.exe是一個包含Symantec簽名的白文件,啟動後會載入同目錄下的惡意rastls.dll,這是典型的「白利用」技術。rastls.dll最終會交付APT32的特種木馬Denis,相關「白利用」技術和Denis木馬的詳細分析見微步在線發布的報告《「海蓮花」團伙專用後門Denis最新變種分析》。
關聯分析
微步在線監測發現,近期APT32 的攻擊活動加劇,中國能源和金融相關企業,以及越南周邊的柬埔寨等國的相關目標遭到定向攻擊,其中國內是重災區。
使用x.threatbook.cn對straliaenollma.xyz、andreagahuvrauvin.com和byronorenstein.com進行關聯發現,發現三者的註冊信息都使用了隱私保護,於近期註冊且註冊時間相同。在一個木馬中使用多個註冊時間相近(多為同一天,且域名服務商多相同)的域名作為C2一直是APT32的習慣。
此外,使用x.threatbook.cn分析另一CVE2017-11882漏洞利用樣本的C2 stopherau.com,發現其早已被微步在線識別:
根據微步在線威脅情報雲數據,APT32近期(2018/04/04-2018/04/06)註冊了幾十個域名用作C2,且開始大量註冊TLD為club、xyz和info等的域名,詳細IOC見附錄。其中部分在註冊之後不到兩周就被用於攻擊,這也側面說明APT32近期攻擊活動極為活躍。
附錄
※思科交換機Smart Install Client高危漏洞正被大範圍利用
※你的Cisco路由器設備正在被攻擊!
TAG:安全威脅情報 |