概述
奇安信红雨滴团队持续关注全球APT组织的攻击活动,其中包括海莲花(OceanLotus)APT组织。近期国外厂商Netskope发布了一篇关于mht格式文件(Web归档文件)通过携带的Office宏植入恶意软件的分析报告[1],因为其中提及的样本采用的攻击手法与海莲花组织存在相似之处,报告认为此次攻击活动是海莲花组织所为。
经过红雨滴团队研究人员对此类样本的深入分析,发现攻击流程中也存在着一些不同于海莲花过往攻击活动的特点,因此不排除其他攻击团伙模仿海莲花的可能性。基于现有的公开信息,暂时还不能确定此次攻击活动背后团伙的具体身份。此外,我们注意到此类样本利用Glitch平台下发后续恶意软件,进一步发现它们与奇安信威胁情报中心去年12月披露的攻击样本[2]一脉相承。
本文将深入分析此次攻击活动涉及的样本,梳理与之关联的其他攻击活动,并与海莲花组织历史攻击手法进行比较,总结攻击活动中相似的地方以及独有的特征。此类攻击样本具有如下特点:
1. 宏代码会根据系统版本释放32位或64位恶意DLL,释放恶意DLL时会插入一段随机数据;
2. 宏代码和恶意DLL均进行了代码混淆;
3. 恶意DLL将收集的信息回传给Glitch平台托管的C2服务,然后下载经过7z压缩的后续恶意软件并执行。
样本信息
收集到的攻击样本信息如下
MD5
文件类型
文件名
0ee738b3837bebb5ce93be890a196d3e
RAR
HS.rar
11d36c3b57d63ed9e2e91495dcda3655
RAR
Tai_lieu.rar
204cb61fce8fc4ac912dcb3bcef910ad
RAR
TL-3525.rar
a7a30d88c84ff7abe373fa41c9f52422
RAR
Note.rar
b1475bdbe04659e62f3c94bfb4571394
RAR
CV.rar
b2eb3785e26c5f064b7d0c58bdd3abe0
RAR
List Product.rar
d8fa458192539d848ee7bb171ebed6bd
RAR
GiftProducts.rar
e7ce1874ab781c7a14019b6a6e206749
RAR
PaymentRequest.rar
eb6cf9da476c821f4871905547e6a2b4
RAR
DeliveryInformation.rar
f5ea39b70f747e34ae024308298f70ac
RAR
Document.rar…