2023年2月：海莲花组织-伪装成Google Installer样本分析

概述

  瑞星威胁情报中心捕获到一个名为Google Installer恶意程序样本，经分析确定该样本出自OceanLotus组织，该组织常用的攻击方法是白加黑，但此次换了另外一种攻击手法是伪装成为正常的安装软件，通过网络钓鱼的方式，诱导用户下载安装程序来执行恶意的操作。

  海莲花，又名APT32和OceanLotus，是越南背景的黑客组织。该组织至少自2012年开始活跃，长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外，海莲花的目标还包含全球的政府、军事机构和大型企业，以及本国的媒体、人权和公民社会等相关的组织和个人。

ATT&CK 矩阵

攻击流程

样本分析

1. 初始样本分析

  攻击者伪装成正常的Google Installer诱惑用户点击安装，从而加载恶意代码：

  在加载器中申请两段空间，第一段空间用于加载shellcode，第二段空间用于读取Google UpData的数据，在%AppData%目录之下释放出Google UpData程序，然后调用ShellExecuteW执行程序来迷惑受害者。

  再通过call edi执行恶意shellcode

2. shellcode分析

  进入shellcode会先获取用户名和受害机器的IP地址

  接着会有多段的花指令和无效的跳转，以此用来干扰分析者，APT32在很多的样本中喜欢用大量的花指令，无效代码，跳转，以及混淆代码来作为干扰，是该组织攻击手法的特征之一。

  使用Windows自带的解密算法进行解密，调用CryptHashData函数计算本机的IP的哈希值：28 0B 79 1E 70 D8 B5 03 DF 82 95 3E 20 D6 5A 8F ，把计算的哈希作为解密的密钥。

  该样本用的是AES的CBC加密模式，会先和IV值进行异或，IV值为：6A 41 C9 8C 11 D0 77 BC EF EB 4A F1 8D 5C 86 1D 。

  对数据进行解密，解密成功之后会对解密成功的一部分数据进行计算哈希，然后比较来判断是否解密成功，解密成功则会创建线程执行。这里需要注意只有上面的IP地址是受害者的IP 才能解密数据成功，否则将会直接退出（我们可以使用爆破脚本寻找到正确的受害者IP地址为10.6.70.0）。

3. Cobalt Strike的shellcode分析

  解密出来的shellcode从入口点可以看出是典型的Cobalt Strike，再通过对Cobalt Strike特征进行对比，可以确定这是一个Cobalt Strike的shellcode,用工具解析得到C2服务器的地址为10.4.200.136,/ToyotaSite/rest/globalnav/vehicledata。

关联样本

  此次的攻击样本和此前于2021-06-23捕获到的360AppLoader.exe进行对比，其攻击手法具有很高的相似性。他们的释放器代码一样：

总结

  APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征，针对的目标都是具有重大信息资产，如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等，国内相关政府机构和企业单位务必要引起重视，加强防御措施。

预防措施

1. 不打开可疑文件。

   不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

2. 部署网络安全态势感知、预警系统等网关安全产品。

   网关安全产品可利用威胁情报追溯威胁行为轨迹，帮助用户进行威胁行为分析、定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，帮助企业更快响应和处理。

3. 安装有效的杀毒软件，拦截查杀恶意文档和木马病毒。

   杀毒软件可拦截恶意文档和木马病毒，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

   瑞星ESM目前已经可以检出此次攻击事件的相关样本。

4. 及时修补系统补丁和重要软件的补丁。

沦陷信标（IOC）

• MD5

  ec8811ab8756013cc6e8279584dbf204

• 瑞星病毒名

  Trojan.[OceanLotus]Loader!1.E212