海蓮花（OceanLotus、APT32）是一個具有越南背景的黑客組織。該組織最早被發(fā)現(xiàn)于 2012 年 4月攻擊中國海事機構(gòu)、海域建設(shè)部門、科研院所和航運企業(yè)。主要使用魚叉和水坑攻擊方式，配合社工手段，利用特種木馬進行符合越南國家利益的針對性竊密活動。
近日，啟明星辰金睛安全研究團隊發(fā)現(xiàn)了一起該組織的最新攻擊事件，我們還原了從投放到最后遠(yuǎn)控釋放的整個攻擊過程。
載荷分析
本次投放的惡意文檔名為Đơn khiếu nại，文件名為越南語，翻譯后中文意思為“投訴”。

該文檔實際為一個惡意宏文檔，打開后會顯示誘惑用戶啟動宏開關(guān)的圖片。

通過進入宏代碼窗口，發(fā)現(xiàn)設(shè)置了密碼保護。

經(jīng)過處理，我們獲取到了一段混淆較為嚴(yán)重的VBS代碼。

經(jīng)過混淆解密后，可以得到以下VBS代碼。

解密后，該腳本會去加載一段新的vbscript腳本，值得一提的是，在獲取該段腳本過程中，我們發(fā)現(xiàn)存在區(qū)域限制問題，即在某些國家和地區(qū)無法對其進行下載，最后我們通過某些途徑將其獲取到。
VBS Loader分析
得到該腳本后，我們發(fā)現(xiàn)該段代碼也具有強混淆手法。

經(jīng)過分析發(fā)現(xiàn)，原始文件存在3段代碼，分別使用了0×35, 0×39, 0×35作為異或解密的密鑰。
第一段代碼如下所示。這段代碼新建了一個Excel對象，并修改了注冊表中AccessVBOM的值，使腳本可以對宏進行調(diào)用執(zhí)行。

第二段代碼為該Excel對象的宏代碼，該段宏代碼經(jīng)過了一定的混淆，并使用了0×78來異或加密其中的字符串。并使用CreateProcess來調(diào)用rundll32，然后將一段shellcode注入到該進程中，并最終通過CreateRemoteThread加載該段shellcode。
shellcode的前半部分是base64解碼程序，后半部分是base64數(shù)據(jù)。
宏代碼中的shellcode內(nèi)容如下所示。

shellcode的前0×76個字節(jié)是一個loader，作用是對后面的數(shù)據(jù)進行解碼并加載。該數(shù)據(jù)的編碼為base64，經(jīng)過解碼后可以得到另一段shellcode，如下所示。

這段shellcode會連接C&C服務(wù)器，下載另一段shellcode內(nèi)容并直接加載。
第三段代碼如下所示。這段代碼調(diào)用了該Excel的Auto_Open函數(shù)，并關(guān)閉Excel對象，恢復(fù)注冊表中的AccessVBOM字段。

遠(yuǎn)控分析
最終的shellcode在下載完成并運行后，首先shellcode頭部通過將偏移0×34和0×38處的數(shù)據(jù)進行異或求得數(shù)據(jù)的總長度，然后對隨后的數(shù)據(jù)進行異或解密，在全部解密完成后開始執(zhí)行代碼。

解密后得到一個DLL文件，該文件的導(dǎo)出模塊名為17f2d8.dll，導(dǎo)出函數(shù)名為_ReflectiveLoader@4。

在DllMain函數(shù)的開頭，會對0×10030028處大小為0×1000的數(shù)據(jù)進行異或0×69解密。

在解密后的數(shù)據(jù)中，可以發(fā)現(xiàn)該后門回連的C&C服務(wù)器為：
https://***.***.net,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books
另外，該樣本也在請求中將自己偽造為amazon.com，將傳輸?shù)臄?shù)據(jù)編碼后隱藏在Cookies字段中。

當(dāng)?shù)玫紺&C服務(wù)器發(fā)過來的指令后，該遠(yuǎn)控便會執(zhí)行相應(yīng)的操作，通過統(tǒng)計發(fā)現(xiàn)有長達(dá)72種指令。

以下為其中幾種指令的功能。

溯源與關(guān)聯(lián)分析
Shellcode關(guān)聯(lián)
結(jié)合該VBS腳本下載的shellcode的編寫技巧，我們通過以往追蹤海蓮花組織的經(jīng)驗，發(fā)現(xiàn)該段shellcode與以往海蓮花組織所使用的shellcode手法幾乎一致。

（上圖為本次攻擊中使用的shellcode，下圖為以往海蓮花所使用的shellcode）

同源性關(guān)聯(lián)分析
除了shellcode外，從本次攻擊中最后釋放的遠(yuǎn)控，與在我們以往披露的海蓮花組織報告中（詳見《2017網(wǎng)絡(luò)安全態(tài)勢觀察報告》），無論是回傳特征，還是代碼結(jié)構(gòu)，都幾乎一致。

甚至連偽裝成amazon的host主機也一致。

因此可以確認(rèn)，本次攻擊的確為海蓮花組織發(fā)起，并且該組織仍然在沿用以往的武器。
除此之外，由于本次攻擊中，文件名為越南語書寫，且標(biāo)題與商業(yè)相關(guān)，因此很有可能目標(biāo)針對越南相關(guān)的私營企業(yè)。
目前，VenusEye威脅情報平臺已經(jīng)支持對此次海蓮花組織攻擊活動的相關(guān)IOC報警。如下：

點擊APT32可以獲取到該組織的相關(guān)文章與情報，歡迎業(yè)界同仁前來試用（https://www.venuseye.vip/）