海蓮花（OceanLotus、APT32）是一個(gè)具有越南背景的黑客組織。該組織最早被發(fā)現(xiàn)于 2012 年 4月攻擊中國(guó)海事機(jī)構(gòu)、海域建設(shè)部門、科研院所和航運(yùn)企業(yè)。主要使用魚(yú)叉和水坑攻擊方式，配合社工手段，利用特種木馬進(jìn)行符合越南國(guó)家利益的針對(duì)性竊密活動(dòng)。
近日，啟明星辰金睛安全研究團(tuán)隊(duì)發(fā)現(xiàn)了一起該組織的最新攻擊事件，我們還原了從投放到最后遠(yuǎn)控釋放的整個(gè)攻擊過(guò)程。
載荷分析
本次投放的惡意文檔名為Đơn khiếu nại，文件名為越南語(yǔ)，翻譯后中文意思為“投訴”。

該文檔實(shí)際為一個(gè)惡意宏文檔，打開(kāi)后會(huì)顯示誘惑用戶啟動(dòng)宏開(kāi)關(guān)的圖片。

通過(guò)進(jìn)入宏代碼窗口，發(fā)現(xiàn)設(shè)置了密碼保護(hù)。

經(jīng)過(guò)處理，我們獲取到了一段混淆較為嚴(yán)重的VBS代碼。

經(jīng)過(guò)混淆解密后，可以得到以下VBS代碼。

解密后，該腳本會(huì)去加載一段新的vbscript腳本，值得一提的是，在獲取該段腳本過(guò)程中，我們發(fā)現(xiàn)存在區(qū)域限制問(wèn)題，即在某些國(guó)家和地區(qū)無(wú)法對(duì)其進(jìn)行下載，最后我們通過(guò)某些途徑將其獲取到。
VBS Loader分析
得到該腳本后，我們發(fā)現(xiàn)該段代碼也具有強(qiáng)混淆手法。

經(jīng)過(guò)分析發(fā)現(xiàn)，原始文件存在3段代碼，分別使用了0×35, 0×39, 0×35作為異或解密的密鑰。
第一段代碼如下所示。這段代碼新建了一個(gè)Excel對(duì)象，并修改了注冊(cè)表中AccessVBOM的值，使腳本可以對(duì)宏進(jìn)行調(diào)用執(zhí)行。

第二段代碼為該Excel對(duì)象的宏代碼，該段宏代碼經(jīng)過(guò)了一定的混淆，并使用了0×78來(lái)異或加密其中的字符串。并使用CreateProcess來(lái)調(diào)用rundll32，然后將一段shellcode注入到該進(jìn)程中，并最終通過(guò)CreateRemoteThread加載該段shellcode。
shellcode的前半部分是base64解碼程序，后半部分是base64數(shù)據(jù)。
宏代碼中的shellcode內(nèi)容如下所示。

shellcode的前0×76個(gè)字節(jié)是一個(gè)loader，作用是對(duì)后面的數(shù)據(jù)進(jìn)行解碼并加載。該數(shù)據(jù)的編碼為base64，經(jīng)過(guò)解碼后可以得到另一段shellcode，如下所示。

這段shellcode會(huì)連接C&C服務(wù)器，下載另一段shellcode內(nèi)容并直接加載。
第三段代碼如下所示。這段代碼調(diào)用了該Excel的Auto_Open函數(shù)，并關(guān)閉Excel對(duì)象，恢復(fù)注冊(cè)表中的AccessVBOM字段。

遠(yuǎn)控分析
最終的shellcode在下載完成并運(yùn)行后，首先shellcode頭部通過(guò)將偏移0×34和0×38處的數(shù)據(jù)進(jìn)行異或求得數(shù)據(jù)的總長(zhǎng)度，然后對(duì)隨后的數(shù)據(jù)進(jìn)行異或解密，在全部解密完成后開(kāi)始執(zhí)行代碼。

解密后得到一個(gè)DLL文件，該文件的導(dǎo)出模塊名為17f2d8.dll，導(dǎo)出函數(shù)名為_(kāi)ReflectiveLoader@4。

在DllMain函數(shù)的開(kāi)頭，會(huì)對(duì)0×10030028處大小為0×1000的數(shù)據(jù)進(jìn)行異或0×69解密。

在解密后的數(shù)據(jù)中，可以發(fā)現(xiàn)該后門回連的C&C服務(wù)器為：
https://***.***.net,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books
另外，該樣本也在請(qǐng)求中將自己偽造為amazon.com，將傳輸?shù)臄?shù)據(jù)編碼后隱藏在Cookies字段中。

當(dāng)?shù)玫紺&C服務(wù)器發(fā)過(guò)來(lái)的指令后，該遠(yuǎn)控便會(huì)執(zhí)行相應(yīng)的操作，通過(guò)統(tǒng)計(jì)發(fā)現(xiàn)有長(zhǎng)達(dá)72種指令。

以下為其中幾種指令的功能。

溯源與關(guān)聯(lián)分析
Shellcode關(guān)聯(lián)
結(jié)合該VBS腳本下載的shellcode的編寫技巧，我們通過(guò)以往追蹤海蓮花組織的經(jīng)驗(yàn)，發(fā)現(xiàn)該段shellcode與以往海蓮花組織所使用的shellcode手法幾乎一致。

（上圖為本次攻擊中使用的shellcode，下圖為以往海蓮花所使用的shellcode）

同源性關(guān)聯(lián)分析
除了shellcode外，從本次攻擊中最后釋放的遠(yuǎn)控，與在我們以往披露的海蓮花組織報(bào)告中（詳見(jiàn)《2017網(wǎng)絡(luò)安全態(tài)勢(shì)觀察報(bào)告》），無(wú)論是回傳特征，還是代碼結(jié)構(gòu)，都幾乎一致。

甚至連偽裝成amazon的host主機(jī)也一致。

因此可以確認(rèn)，本次攻擊的確為海蓮花組織發(fā)起，并且該組織仍然在沿用以往的武器。
除此之外，由于本次攻擊中，文件名為越南語(yǔ)書(shū)寫，且標(biāo)題與商業(yè)相關(guān)，因此很有可能目標(biāo)針對(duì)越南相關(guān)的私營(yíng)企業(yè)。
目前，VenusEye威脅情報(bào)平臺(tái)已經(jīng)支持對(duì)此次海蓮花組織攻擊活動(dòng)的相關(guān)IOC報(bào)警。如下：

點(diǎn)擊APT32可以獲取到該組織的相關(guān)文章與情報(bào)，歡迎業(yè)界同仁前來(lái)試用（https://www.venuseye.vip/）