APT-C-00(海莲花)(也称OceanLotus)组织是一个有政府背景的境外黑客组织,自2015年360曝光海莲花以来,360高级威胁研究院一直持续跟进监测海莲花组织的最新攻击。
360高级威胁研究院在APT威胁狩猎中发现并捕获了2024年海莲花针对高价值目标发起的网络攻击。此次攻击中与以往不同的是海莲花对使用近两年半的双重后门加载器进行了“加工”,利用VMProtect软件对加载器进行了加壳保护,在反静/动态分析层面进一步加强了安全对抗程度。
MD5 | 2109479e62f3c45bab00768553b158b8 |
文件类型 | DLL动态链接库 |
文件大小 | 225280
Bytes |
编译信息 | MSVC |
该模块是一个MSVC DLL文件,通过分析可以发现该DLL是在Visual Studio生成的默认桌面应用程序项目基础上进行修改和“加料”,主要工作流程如下:
首先,攻击者会收集主机名和磁盘信息;
然后创建目录%Temp%\NVidiaSetup\kd8812u,以文件流的方式写入此前收集的主机信息,在等待一定时长后调用函数ShellExecute打印文件流,其寓意暂时未知。
随后则是加载一个包含加密载荷的DLL文件,参数为加载的DLL文件模块句柄和解密Key,参数格式:小写十六进制模块句柄_解密Key。
MD5 | d21c4b1c1db2c9f443c4ba271f738c91 |
文件类型 | DLL动态链接库 |
文件大小 | 2503168 Bytes |
编译信息 | GoLang |
该模块由Go语言编写,其中包含多个开源项目,主要工作流程如下:
利用开源项目gopsutil[1]收集主机信息并写到指定路径。
利用开源项目screenshot[2]截取屏幕图像并写到指定路径,截屏图像的路径则写入如上提到的信息收集文件。
接下来是该组件的主要流程,解密并执行恶意载荷。
首先将上级MSVC加载器传入的解密Key进行十六进制解码。
然后解码资源中的Base64编码数据,再利用解密Key解密恶意载荷(此处使用的是RC4算法),最后调用恶意载荷。
恶意载荷共有两段,第一段载荷功能主要为循环解密并调用第二段载荷。
第二段载荷则主要是反射加载CobaltStrike Beacon模块。
通过解析Beacon模块配置信息可知C2:strengthening-memories-reports-restoration.trycloudflare.com:443。
在日常APT狩猎中我们发现了一组后门加载器,第一时间进行分析后确认了这组加载器是海莲花双重加载器的VMP版本。
(以下对比图左侧均为无壳加载器,右侧均为VMP加载器代码中未被VM或混淆的部分。)
MD5 | 26669891d83b8a706d2c0af91292247c |
文件类型 | DLL动态链接库 |
文件大小 | 7072768 Bytes |
保护器 | VMProtect 3.XX x64 |
通过绝对路径加载GoLang恶意模块部分代码对比:
MD5 | 4ce5ea38c4d486bed7f6d9e9208133c6 |
文件类型 | DLL动态链接库 |
文件大小 | 8276480 Bytes |
保护器 | VMProtect 3.XX x64 |
近年APT组织皆有使用Rust、Nim、GoLang等多种编程语言开发后门程序的先例,海莲花组织执行假旗行动的效果较为显著,将攻击细节[3][4]模仿为已披露的APT组织(APT29、Gamaredon等),目的就是诱导安全人员错误的归属攻击,淡化自身的活跃度。本次攻击活动在VMP源代码泄露后使用其保护加载器,也让分析成本大大增加。因此我们可以预见未来在捕获攻击,样本分析,归属研判等方面或将面临巨大的挑战。
MD5
4a8756b22029a88506744ab7864c9b83
2109479e62f3c45bab00768553b158b8
d21c4b1c1db2c9f443c4ba271f738c91
9ad37ce054ca1523d26bb49fbc80dff6
26669891d83b8a706d2c0af91292247c
4ce5ea38c4d486bed7f6d9e9208133c6
C&C
strengthening-memories-reports-restoration.trycloudflare.com:443
64.176.58.16:80
[1] https://github.com/shirou/gopsutil
[2] https://github.com/kbinani/screenshot
[3] https://mp.weixin.qq.com/s/IB2w86cXcpmGS8qrOnprKw
[4] https://ti.defender.microsoft.com/articles/541a465f