现在被Fireeye命名为APT32(OceanLotus海莲花组织)的网络间谍行动,正在对横跨多个行业的私人企业和外国政府,异议人士和记者进行入侵。Fireeye评估APT32利用独特且功能全面的恶意软件套件与商业渗透工具相结合。开展符合对越南国家利益的有针对性的行动。
APT32和Fireeye的社区响应
FireEye的Mandiant事件响应顾问对在越南有商业利益的几家公司进行入侵调查的过程中,发现了入侵活动,并且攻击者控制的基础设施指示了一个重要的入侵活动。2017年3月,为响应FireEye客户的主动定位,该团队发起了社区保护事件(CPE)—就是Mandiant事件响应团队,FireEye即服务(FaaS)FireEye iSight情报和FireEye的产品工程师去保护所有客户免受APT32活动的攻击。
在接下来的几周内,FireEye向客户发布威胁情报产品和更新的恶意软件配置文件,同时为APT32的工具和钓鱼诱饵开发新的检测技术。这种集中了情报与检测于一身的努力让我们识别出新的外部受害者,并获得足够的技术证据来连接十二个以前的入侵,将之前无关的四个威胁成员集合到FireEye的最新命名的高级持续威胁组织APT32.
APT32针对东南亚私营公司的业务
至少自2014年以来,FireEye已经观察到APT32针对越南国家的制造业,消费品和酒店行业有既得利益的外国企业。此外有迹象表明,APT32攻击者正在瞄准周边的网络安全和技术基础设施公司,以及可能与外国投资者有联系的咨询公司。
以下是FireEye对APT32的入侵调查概述:
2014年,一家欧洲公司在越南制造工厂前受到攻击 2016年,在越南工作的外资企业如:网络安全,技术基础设施,银行业和媒体行业工作都受到攻击。 2016年中,FireEye认为APT32独有的恶意软件在全球酒店业开发商计划扩大越南的业务时,在网络中被发现的。 从2016年到2017年,位于越南境内的美国和菲律宾消费品公司的子公司是APT32的入侵行动目标 2017年,APT32入侵全球咨询公司的越南办事处。
表1显示了APT32活动的细目,包括每个活动使用的恶意软件家族。
APT32对政治势力和外国政府的兴趣
除了专注于与越南有关的私营部门外,APT32还至少在2013年以来针对外国政府以及越南持不同政见者和记者。这是对此活动的概述:
public blog published by the Electronic Frontier Foundation 电子前沿基金会EFF发布一个公开博客声明,记者,活动家,持不同政见者和博客作者在2013年被APT32操作一致的恶意软件和战术进行攻击。 2014年,APT32利用一项封名为“打算在越南的大使馆进行抗议的计划.exe”的钓鱼附件,针对东南亚越南流亡人士中持不同政见的活动,2014年,APT32进行针对西方国家立法机关的入侵。 released a report 2015年,中国企业奇虎360的安全研究部门SkyEye Labs发布一份报告,详细介绍了针对中国公共和私人机构,包括政府机构,研究机构,海事机构,海上建设和航运企业的威胁行为。报告中的资料表明,肇事者使用与APT32相同的恶意软件,重叠的基础设施和相似的目标。 2015年和2016年,两家越南媒体都面临着恶意软件的攻击,FireEye评估属于APT32 2017年,攻击者在社会工程中的内容诱饵上提供证据,证明他们是在澳大利亚的越南移民以及菲律宾的政府雇员。
APT32战术
在目前的活动中,APT32利用ActiveMime文件和社工手段来诱使受害者启动宏。一旦执行,初始化的文件从远程服务器下载多个恶意有效载荷。APT32攻击者继续通过钓鱼邮件传播恶意附件。
APT32攻击者设计了针对特东受害者的多语言诱饵文件。虽然这些文件具有“.doc”文件扩展名,但恢复后的钓鱼诱饵是ActiveMime”.mht”包含文本和图像的网页归档。这些文件可能是通过将Word文档导出到单个文件网页创建的。
表2包含了已经恢复的APT32多语言诱饵文件示例。
表2:APT32诱饵文件样本
Base64编码的ActiveMime数据还包含带有恶意宏的OLE文件。当打开的时候,许多诱饵文件会显示虚假的错误信息试图欺骗用户启动恶意宏。图1显示一个假的Gmail主题和十六进制错误代码匹配,要求收件人启用内容来解决错误。图2显示了另一个APT32的诱饵,它使用一个令人信服的虚假的Windows错误消息,指示收件人启用内容以便正确的显示文档的字体字符。
图1:APT32钓鱼诱饵—假的Gmail错误信息
图2:APT32钓鱼诱饵示例—假的文件编码错误信息
APT32操控人员实施了集中新颖的技术来跟踪其网络钓鱼的功效,监控恶意文件的分发,并建立持久性机制来动态更新注入内存的后门
为了跟踪谁打开了钓鱼邮件,查看了链接并实时下载了附件,APT32使用了针对销售组织设计的基于云端的邮件分析软件。在某些情况下,APT32干脆直接放弃邮件的附件,并完全依赖此跟踪技术,链接到他们的ActiveMime诱饵的外部托管的合法云存储服务上。
为了增强对进一步分发其钓鱼诱饵的可见性,APT32利用其ActiveMime文档的本地web页面功能链接到APT32监控的外部托管服务器上。
图3包含一个示例钓鱼诱饵,带有HTML图像标签,用于APT32的附加跟踪。
图3:包含用于附加跟踪的HTML钓鱼图像标签
打开具有此功能的文档时,即便禁用了宏,Microsoft Word也会尝试下载外部图像。在分析所有的钓鱼诱饵后,外部图像不存在。Mandiant顾问怀疑APT32正在监控Web日志以跟踪用于请求远程图片的公共IP地址。结合电子邮件跟踪软件,APT32能密切关注钓鱼的传播,成功率,并对受害组织进行下一步的分析,同时监控安全公司感兴趣的事情。
一旦目标系统上启用了宏,恶意宏将两个命名为计划任务有持久机制的后门在受感染系统上创建。第一个命名的计划任务启动一个应用白名单脚本保护以绕过执行COM脚本,动态下载APT32服务器的第一个后门并将其注入到内存中。第二个命名的计划任务作为XML文件加载以伪造任务属性,运行Javascript代码,该代码下载并启动一个辅助后门,为多阶段Powershell脚本提供。在大多数诱饵中,一个计划任务持续存在于一个特定的APT32后门中,另一个计划任务将初始化一个商业可用的后门(Cobaltstrike)作为备用。
为了说明这些诱饵的复杂性,图4显示了恢复后的APT32诱饵。“2017年员工工资性津贴额统计报告.doc”。
图4:APT32 ActiveMime诱饵创建两个命名计划任务
在此示例中,一个计划任务命名为“Windows Scheduled Maintenance”的计划任务被创建运行CaseySmith的“Squiblydoo”应用白名单。虽然所有有效载荷都可以动态更新,但在推送的时候,这个任务加载了一个COM scriptlet(“.sct”的文件扩展)它下载并执行托管在images.chinabytes.info的Meterpreter然后加载Cobalt Strike的BEACON,使用Safebrowsing可延展C2配置通信进行网络流量的融合(进行下一步横移!!)另一个计划任务命名为“Scheduled Defrags”的任务在加载原始任务XML的后期任务创建时间戳为2016年6月2日被创建。第二个任务每50分钟运行一次“mshta.exe”,它启动一个APT32定制的后门Powershell包含shellcode的脚本。被配置为与域名blog.panggin.org,share.codehao.net,和yii.yiihao126.net通信。
图5显示了APT32成功通过钓鱼诱饵利用动态注入两个多阶段恶意框架到内存的事件链。
图5:APT32钓鱼链事件
令人印象深刻的是APT32操作并未没有在受害环境建立立足点后停止。几个Mandiant调查显示,APT32在获得访问权后,会定期清除选定的事件日志条目,并严重混淆其基于Powershell的工具和Daniel Bohannon的shellcode加载器–Invoke-Obfuscation框架。
APT32经常使用隐身技术与合法用户活动相融合:
在一次调查期间,APT32使用特权提升漏洞(CVE-2016-7255)伪装成Windows补丁程序。 I在另一项调查中,APT32入侵了McAfee Epo服务器,将其恶意软件载荷作为所有系统推送由Epo服务器专有SPIPE协议分发的软件部署任务。 APT32还使用隐藏或非打印字符来帮助视觉上伪装其系统上的恶意软件。例如:APT32安装一个后门作为持久服务,其中附带一个Unicode无休止空格字符的合法服务名称。另一个后门使用填充由非打印的系统命令控制符作为其合法的DLL。
APT32恶意软件和服务器
APT32似乎拥有资源丰富的开发English,并且使用多套定制的多协议后门。APT32操作者的特征表现在部署包括WINDSHIELD, KOMPROGO,SOUNDBITE, 和 PHOREAL特征在内的恶意软件有效载荷。APT32经常部署这些后门以及商业出售的Cobalt Strike Beacon后门。APT32还拥有MAC OS的后门开发能力backdoor development capabilities for macOS。
独特的恶意软件套件功能如表3
表3:APT32恶意软件功能
APT32的操作者似乎资源充足和受到支持的,因为它们使用大量的域名和IP地址作为控制服务器。FireEye Isight Intelligence MySIGHT Portal包含有关这些后门系列的更多信息,这些信息基于Mandiant对APT32入侵的调查。
图6提供了一个APT32工具和技术映射到整个攻击生命周期每个阶段的摘要。
图6: APT32 攻击生命周期
展望和启示
FireEye根据时间响应调查,产品检测和情报观察以及相关运营商的其他出版物,评估APT32是与越南政府利用相一致的网络间谍组织。APT32对私营部门利益的定位是值得注意的,FireEye认为,攻击者对该国进行业务或准备投资的公司构成重大风险。虽然每个APT32的部门入侵的动机有所不同,在某些情况下是未知的,未经授权的访问(泛指入侵)(竟)可作为执法部门,知识产权盗窃和反腐败措施的平台。最终可能腐蚀目标组织的竞争优势。此外APT32继续威胁到东南亚和全球公共部门的政治活动和言论自由。各国政府,记者和越南一名的成员均可能继续成为其目标。
APT32 检测
图7包含一个Yara规则,可用来识别与APT32的钓鱼诱骗有关的恶意宏:
图7:APT32恶意宏的Yara规则
表4包含FireEye与APT32 C2相关联的服务器样本
表4:APT32 C2服务器样本
最后,海莲花对我国的政府单位,企业造成很大影响,很多时候我们总以为APT离我们很远,但在最近遇到的DFIR过程中,SkyEye Lab和安天发布的报告中已经对关于海莲花后门的有了相当详尽的分析。当然样本也很多,但由于对其组织内部了解相当的少,造成很长时间对其组织的分析和定位都相当模糊(譬如准APT的说法),本文暂且填补了部分人的好奇心,介绍了某国的决心。。。 如FireEye所说的相关日志和PS的混淆基本不会给你任何线索,所以唯有寄托于类似SIEM的平台进行关联回溯。与FireEye所说的也是1-3月份期间这个组织开始又重新活跃了起来,并且在某次调查发现此组织对入侵的该国习俗节日相当熟悉。打个比方,在某次异常流量发生的过程中集中在1月26日,后来得知1月27日是除夕放假。。。并且常常掌握管理员习惯,和所在国的安全公司情况(比如安全人员经常会使用AWVS,然后它们就发了个破解版的,然后你就中招了),并且相当熟悉信息的收集。如下图为在3月调查过程中的文件。
下图为海莲花利用regsvr32.exe下载并加载icon7.gif后门的过程。此目的用于绕过Applocker
下图为icon7.gif样本截图,并调用System.dll模块。
sha256:95DFCCF3933A43676A967DE39A8A6C1297729836EEAA5833B5EEE46102B1E1BB
甚至到目前为止,众多payload还是处于免杀状态。
下面是哈勃的分析报告:
https://habo.qq.com/file/showdetail?md5=569797689d2f779668b107224d36beb0
其IOC符合我们一直追踪的海莲花。
SHA256:0692DF991CB7CCC2DC50E13817AE682BD2C1ECC0F8F46CFDC9CC9D34CE7215AD
最近wannacry勒索事件导致大量主机沦陷,与此同时,海莲花不知为何也在12日来了个趁火打劫。虽然目前对此组织内部的认识还是相对较少,但对于有点比较确定的是该组织确实会利用越南本国公民进行身份掩护,对于总体来说,其行动都相对隐蔽的,但也许个别成员的因素或者某些任务或者需要扩大战果等原因,有时候会采取相当冒进的攻击行为(如攻击核心交换机,ARP攻击等)或许FireEye的曝光会暂时让其消停一会儿吧。