海莲花APT组织样本跟踪分析

APT组织简介

OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织，该组织也是针对中国境内的最活跃的APT组织之一，该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播特种木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料，通过追踪它这些年的攻击手法和攻击目标，OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织

初期的OceanLotus特种木马技术并不复杂，容易发现和查杀，2014年OceanLotus特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗，随后OceanLotus特种木马又开始转向云控技术，攻击的危险性、不确定性与木马识别查杀的难度都大大增强

OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击，NSA武器库曝光后，还使用了永恒系列漏洞进行攻击，投递的攻击武器种类比较多，RTA包括：Denis、CobaltStrike、PHOREAL、salgorea、类gh0st、Ratsnif等

2019年OceanLotus仍然使用电子邮件投递诱饵的方式实施鱼叉攻击，投递的诱饵类型多种多样，有白加黑、LNK、CHM、漏洞利用Office文件，WinRAR RCE漏洞、文档图标的EXE等，在启动方式上，通过修改DOC、TXT等文档文件类型关联程序的方式来实现开机自启动，并通过在PE文件资源中添加大量的垃圾数据，扩充程序体积进行免杀，利用COM组件添加注册表从而绕过安全软件主动防御的技术等

APT组织加载恶意样本的方式多种多样，其中白加黑的加载方式是一种常用的APT攻击手法，也是海莲花APT组织最常用的APT攻击手法之一，统计最近几年国内发布的OceanLotus(海莲花)APT组织报告中的白+黑程序名，如下所示：

APT样本分析

此次发现的海莲花APT组织最新的攻击样本，同样使用了白+黑的加载方式，样本伪装成DOC文档图标，EXE后缀的自解压程序，如下所示：

运行样本之后，释放白+黑程序，并启动白程序，然后利用升级程序MicrosoftUpdate.exe，加载SoftwareUpdateFiles.Resources目录下的恶意程序SoftwareUpdateFilesLocalized.dll，如下所示：

启动之后的MicrosoftUpdate.exe进程，如下所示：

SoftwareUpdateFilesLocalized.dll会读取目录下的SoftwareUpdateFiles.locale文件，然后解密执行，如下所示：

读取SoftwareUpdateFiles.locale文件的数据内容，如下所示：

解密之后的数据，如下所示：

执行解密后的数据代码，如下所示：

获取一些关键函数地址，如下所示：

通过VirtualAlloc分配相应的内存空间，如下所示：

通过RelDecompressBuffer解压缩数据到分配的内存空间，如下所示：

利用解压缩后的数据，在%TEMP%目录下生成相应的DOC文档，并打开文档迷惑受害者，如下所示：

生成的DOC文档，如下所示：

打开生成的假文档之后，后面的代码使用了大量的垃圾代码填充，混淆方式，通过动态调试跟踪，通过VirtualAlloc分配内存空间，如下所示：

然后利用RtlZeroMemory/RtlMoveMemory填充恶意代码，如下所示：

解密填充的恶意代码，如下所示：

执行解密后的恶意代码，如下所示：

通过分析解密出来的木马程序应该为此前APT32(海莲花组织)使用的DenesRAT木马程序，黑客的域名服务器为tripplekill.mentosfontcmb.com，发现微步在线已经更新此域名信息，如下所示：

APT威胁情报

HASH

7579AEDE6A223C96231AD30472A060DB

79F2765F4F7DE8B07204F317BD383571

域名

tripplekill.mentosfontcmb.com

IP

139.162.111.226