網路間諜依然健在：APT32對全球企業的威脅（海蓮花）

現在被Fireeye命名為APT32（OceanLotus海蓮花組織）的網路間諜行動,正在對橫跨多個行業的私人企業和外國政府，異議人士和記者進行入侵。Fireeye評估APT32利用獨特且功能全面的惡意軟體套件與商業滲透工具相結合。開展符合對越南國家利益的有針對性的行動。

廣告時間：APT32和Fireeye的社區響應

FireEye的Mandiant事件響應顧問對在越南有商業利益的幾家公司進行入侵調查的過程中，發現了入侵活動，並且攻擊者控制的基礎設施指示了一個重要的入侵活動。2017年3月，為響應FireEye客戶的主動定位，該團隊發起了社區保護事件（CPE）—就是Mandiant事件響應團隊，FireEye即服務(FaaS)FireEye iSight情報和FireEye的產品工程師去保護所有客戶免受APT32活動的攻擊。

在接下來的幾周內，FireEye向客戶發布威脅情報產品和更新的惡意軟體配置文件，同時為APT32的工具和釣魚誘餌開發新的檢測技術。這種集中了情報與檢測於一身的努力讓我們識別出新的外部受害者，並獲得足夠的技術證據來連接十二個以前的入侵，將之前無關的四個威脅成員集合到FireEye的最新命名的高級持續威脅組織APT32.

APT32針對東南亞私營公司的業務

至少自2014年以來，FireEye已經觀察到APT32針對越南國家的製造業，消費品和酒店行業有既得利益的外國企業。此外有跡象表明，APT32攻擊者正在瞄準周邊的網路安全和技術基礎設施公司，以及可能與外國投資者有聯繫的諮詢公司。

以下是FireEye對APT32的入侵調查概述：

2014年，一家歐洲公司在越南製造工廠前受到攻擊

2016年，在越南工作的外資企業如：網路安全，技術基礎設施，銀行業和媒體行業工作都受到攻擊。

2016年中，FireEye認為APT32獨有的惡意軟體在全球酒店業開發商計劃擴大越南的業務時，在網路中被發現的。

從2016年到2017年，位於越南境內的美國和菲律賓消費品公司的子公司是APT32的入侵行動目標

2017年，APT32入侵全球諮詢公司的越南辦事處。

表1顯示了APT32活動的細目，包括每個活動使用的惡意軟體家族。

APT32對政治勢力和外國政府的興趣

除了專註於與越南有關的私營部門外，APT32還至少在2013年以來針對外國政府以及越南持不同政見者和記者。這是對此活動的概述：

public blog published by the Electronic Frontier Foundation 電子前沿基金會EFF發布一個公開博客聲明，記者，活動家，持不同政見者和博客作者在2013年被APT32操作一致的惡意軟體和戰術進行攻擊。

2014年，APT32利用一項封名為「打算在越南的大使館進行抗議的計劃.exe」的釣魚附件，針對東南亞越南流亡人士中持不同政見的活動，2014年，APT32進行針對西方國家立法機關的入侵。

released a report 2015年，中國企業奇虎360的安全研究部門SkyEye Labs發布一份報告，詳細介紹了針對中國公共和私人機構，包括政府機構，研究機構，海事機構，海上建設和航運企業的威脅行為。報告中的資料表明，肇事者使用與APT32相同的惡意軟體，重疊的基礎設施和相似的目標。

2015年和2016年，兩家越南媒體都面臨著惡意軟體的攻擊，FireEye評估屬於APT32

2017年，攻擊者在社會工程中的內容誘餌上提供證據，證明他們是在澳大利亞的越南移民以及菲律賓的政府僱員。

APT32戰術

在目前的活動中，APT32利用ActiveMime文件和社工手段來誘使受害者啟動宏。一旦執行，初始化的文件從遠程伺服器下載多個惡意有效載荷。APT32攻擊者繼續通過釣魚郵件傳播惡意附件。

APT32攻擊者設計了針對特東受害者的多語言誘餌文件。雖然這些文件具有「.doc」文件擴展名，但恢復後的釣魚誘餌是ActiveMime」.mht」包含文本和圖像的網頁歸檔。這些文件可能是通過將Word文檔導出到單個文件網頁創建的。

表2包含了已經恢復的APT32多語言誘餌文件示例。

表2：APT32誘餌文件樣本

Base64編碼的ActiveMime數據還包含帶有惡意宏的OLE文件。當打開的時候，許多誘餌文件會顯示虛假的錯誤信息試圖欺騙用戶啟動惡意宏。圖1顯示一個假的Gmail主題和十六進位錯誤代碼匹配，要求收件人啟用內容來解決錯誤。圖2顯示了另一個APT32的誘餌，它使用一個令人信服的虛假的Windows錯誤消息，指示收件人啟用內容以便正確的顯示文檔的字體字元。

圖1：APT32釣魚誘餌—假的Gmail錯誤信息

圖2：APT32釣魚誘餌示例—假的文件編碼錯誤信息

APT32操控人員實施了集中新穎的技術來跟蹤其網路釣魚的功效，監控惡意文件的分發，並建立持久性機制來動態更新注入內存的後門

為了跟蹤誰打開了釣魚郵件，查看了鏈接並實時下載了附件，APT32使用了針對銷售組織設計的基於雲端的郵件分析軟體。在某些情況下，APT32乾脆直接放棄郵件的附件，並完全依賴此跟蹤技術，鏈接到他們的ActiveMime誘餌的外部託管的合法雲存儲服務上。

為了增強對進一步分發其釣魚誘餌的可見性，APT32利用其ActiveMime文檔的本地web頁面功能鏈接到APT32監控的外部託管伺服器上。

圖3包含一個示例釣魚誘餌，帶有HTML圖像標籤，用於APT32的附加跟蹤。

圖3：包含用於附加跟蹤的HTML釣魚圖像標籤

打開具有此功能的文檔時，即便禁用了宏，Microsoft Word也會嘗試下載外部圖像。在分析所有的釣魚誘餌後，外部圖像不存在。Mandiant顧問懷疑APT32正在監控Web日誌以跟蹤用於請求遠程圖片的公共IP地址。結合電子郵件跟蹤軟體，APT32能密切關注釣魚的傳播，成功率，並對受害組織進行下一步的分析，同時監控安全公司感興趣的事情。

一旦目標系統上啟用了宏，惡意宏將兩個命名為計劃任務有持久機制的後門在受感染系統上創建。第一個命名的計劃任務啟動一個應用白名單腳本保護以繞過執行COM腳本，動態下載APT32伺服器的第一個後門並將其注入到內存中。第二個命名的計劃任務作為XML文件載入以偽造任務屬性，運行Javascript代碼，該代碼下載並啟動一個輔助後門，為多階段Powershell腳本提供。在大多數誘餌中，一個計劃任務持續存在於一個特定的APT32後門中，另一個計劃任務將初始化一個商業可用的後門（Cobaltstrike）作為備用。

為了說明這些誘餌的複雜性，圖4顯示了恢復後的APT32誘餌。「2017年員工工資性津貼額統計報告.doc」。

圖4：APT32 ActiveMime誘餌創建兩個命名計劃任務

在此示例中，一個計劃任務命名為「Windows Scheduled Maintenance」的計劃任務被創建運行CaseySmith的「Squiblydoo」應用白名單。雖然所有有效載荷都可以動態更新，但在推送的時候，這個任務載入了一個COM scriptlet（「.sct」的文件擴展）它下載並執行託管在images.chinabytes.info的Meterpreter然後載入Cobalt Strike的BEACON，使用Safebrowsing可延展C2配置通信進行網路流量的融合（進行下一步橫移！！）另一個計劃任務命名為「Scheduled Defrags」的任務在載入原始任務XML的後期任務創建時間戳為2016年6月2日被創建。第二個任務每50分鐘運行一次「mshta.exe」，它啟動一個APT32定製的後門Powershell包含shellcode的腳本。被配置為與域名blog.panggin.org,share.codehao.net,和yii.yiihao126.net通信。

圖5顯示了APT32成功通過釣魚誘餌利用動態注入兩個多階段惡意框架到內存的事件鏈。

圖5：APT32釣魚鏈事件

令人印象深刻的是APT32操作並未沒有在受害環境建立立足點後停止。幾個Mandiant調查顯示，APT32在獲得訪問權後，會定期清除選定的事件日誌條目，並嚴重混淆其基於Powershell的工具和Daniel Bohannon的shellcode載入器–Invoke-Obfuscation框架。

Invoke-Obfuscation

APT32經常使用隱身技術與合法用戶活動相融合：

在一次調查期間，APT32使用特權提升漏洞(CVE-2016-7255)偽裝成Windows補丁程序。

I在另一項調查中，APT32入侵了McAfee Epo伺服器，將其惡意軟體載荷作為所有系統推送由Epo伺服器專有SPIPE協議分發的軟體部署任務。

APT32還使用隱藏或非列印字元來幫助視覺上偽裝其系統上的惡意軟體。例如：APT32安裝一個後門作為持久服務，其中附帶一個Unicode無休止空格字元的合法服務名稱。另一個後門使用填充由非列印的系統命令控制符作為其合法的DLL。

APT32惡意軟體和伺服器

APT32似乎擁有資源豐富的開發English，並且使用多套定製的多協議後門。APT32操作者的特徵表現在部署包括WINDSHIELD, KOMPROGO,SOUNDBITE, 和 PHOREAL特徵在內的惡意軟體有效載荷。APT32經常部署這些後門以及商業出售的Cobalt Strike Beacon後門。APT32還擁有MAC OS的後門開發能力backdoor development capabilities for macOS

。

獨特的惡意軟體套件功能如表3

表3：APT32惡意軟體功能

APT32的操作者似乎資源充足和受到支持的，因為它們使用大量的域名和IP地址作為控制伺服器。FireEye Isight Intelligence MySIGHT Portal包含有關這些後門系列的更多信息，這些信息基於Mandiant對APT32入侵的調查。

圖6提供了一個APT32工具和技術映射到整個攻擊生命周期每個階段的摘要。

圖6: APT32 攻擊生命周期

展望和啟示

FireEye根據時間響應調查，產品檢測和情報觀察以及相關運營商的其他出版物，評估APT32是與越南政府利用相一致的網路間諜組織。APT32對私營部門利益的定位是值得注意的，FireEye認為，攻擊者對該國進行業務或準備投資的公司構成重大風險。雖然每個APT32的部門入侵的動機有所不同，在某些情況下是未知的，未經授權的訪問（泛指入侵）（竟）可作為執法部門，知識產權盜竊和反腐敗措施的平台。最終可能腐蝕目標組織的競爭優勢。此外APT32繼續威脅到東南亞和全球公共部門的政治活動和言論自由。各國政府，記者和越南一名的成員均可能繼續成為其目標。

APT32 檢測

圖7包含一個Yara規則，可用來識別與APT32的釣魚誘騙有關的惡意宏：

圖7：APT32惡意宏的Yara規則

表4包含FireEye與APT32 C2相關聯的伺服器樣本

表4：APT32 C2伺服器樣本

最後，海蓮花對我國的政府單位，企業造成很大影響，很多時候我們總以為APT離我們很遠，但在最近遇到的DFIR過程中，SkyEye Lab和安天發布的報告中已經對關於海蓮花後門的有了相當詳盡的分析。當然樣本也很多，但由於對其組織內部了解相當的少，造成很長時間對其組織的分析和定位都相當模糊（譬如准APT的說法），本文暫且填補了部分人的好奇心，介紹了某國的決心。。。 如FireEye所說的相關日誌和PS的混淆基本不會給你任何線索，所以唯有寄託於類似SIEM的平台進行關聯回溯。與FireEye所說的也是1-3月份期間這個組織開始又重新活躍了起來，並且在某次調查發現此組織對入侵的該國習俗節日相當熟悉。打個比方，在某次異常流量發生的過程中集中在1月26日，後來得知1月27日是除夕放假。。。並且常常掌握管理員習慣，和所在國的安全公司情況（比如安全人員經常會使用AWVS，然後它們就發了個破解版的，然後你就中招了），並且相當熟悉信息的收集。如下圖為在3月調查過程中的文件。

下圖為海蓮花利用regsvr32.exe下載並載入icon7.gif後門的過程。此目的用於繞過Applocker

下圖為icon7.gif樣本截圖，並調用System.dll模塊。

sha256:95DFCCF3933A43676A967DE39A8A6C1297729836EEAA5833B5EEE46102B1E1BB

甚至到目前為止，眾多payload還是處於免殺狀態。

下面是哈勃的分析報告：

https://habo.qq.com/file/showdetail?md5=569797689d2f779668b107224d36beb0

其IOC符合我們一直追蹤的海蓮花。

SHA256:0692DF991CB7CCC2DC50E13817AE682BD2C1ECC0F8F46CFDC9CC9D34CE7215AD

最近wannacry勒索事件導致大量主機淪陷，與此同時，海蓮花不知為何也在12日來了個趁火打劫。雖然目前對此組織內部的認識還是相對較少，但對於有點比較確定的是該組織確實會利用越南本國公民進行身份掩護，對於總體來說，其行動都相對隱蔽的，但也許個別成員的因素或者某些任務或者需要擴大戰果等原因，有時候會採取相當冒進的攻擊行為（如攻擊核心交換機，ARP攻擊等）或許FireEye的曝光會暫時讓其消停一會兒吧。

*參考來源：fireeye，heiben編譯，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！