Author: Securonix

概述

奇安信红雨滴团队持续关注全球APT组织的攻击活动，其中包括海莲花（OceanLotus）APT组织。近期国外厂商Netskope发布了一篇关于mht格式文件（Web归档文件）通过携带的Office宏植入恶意软件的分析报告[1]，因为其中提及的样本采用的攻击手法与海莲花组织存在相似之处，报告认为此次攻击活动是海莲花组织所为。

经过红雨滴团队研究人员对此类样本的深入分析，发现攻击流程中也存在着一些不同于海莲花过往攻击活动的特点，因此不排除其他攻击团伙模仿海莲花的可能性。基于现有的公开信息，暂时还不能确定此次攻击活动背后团伙的具体身份。此外，我们注意到此类样本利用Glitch平台下发后续恶意软件，进一步发现它们与奇安信威胁情报中心去年12月披露的攻击样本[2]一脉相承。

本文将深入分析此次攻击活动涉及的样本，梳理与之关联的其他攻击活动，并与海莲花组织历史攻击手法进行比较，总结攻击活动中相似的地方以及独有的特征。此类攻击样本具有如下特点：

1. 宏代码会根据系统版本释放32位或64位恶意DLL，释放恶意DLL时会插入一段随机数据;

2. 宏代码和恶意DLL均进行了代码混淆；

3. 恶意DLL将收集的信息回传给Glitch平台托管的C2服务，然后下载经过7z压缩的后续恶意软件并执行。

样本信息

收集到的攻击样本信息如下

MD5

文件类型

文件名

0ee738b3837bebb5ce93be890a196d3e

RAR

HS.rar

11d36c3b57d63ed9e2e91495dcda3655

RAR

Tai_lieu.rar

204cb61fce8fc4ac912dcb3bcef910ad

RAR

TL-3525.rar

a7a30d88c84ff7abe373fa41c9f52422

RAR

Note.rar

b1475bdbe04659e62f3c94bfb4571394

RAR

CV.rar…