海蓮花”，又名APT32和OceanLotus，是越南背景的黑客組織。該組織至少自2012年開始活躍，長期針對中國能源相關(guān)行業(yè)、海事機(jī)構(gòu)、海域建設(shè)部門、科研院所和航運(yùn)企業(yè)等進(jìn)行網(wǎng)絡(luò)攻擊。除中國外，“海蓮花”的目標(biāo)還包含全球的政府、軍事機(jī)構(gòu)和大型企業(yè)，以及本國的媒體、人權(quán)和公民社會(huì)等相關(guān)的組織和個(gè)人。
2017年下半年至今，微步在線發(fā)布了《“海蓮花”團(tuán)伙的最新動(dòng)向分析》、《“海蓮花”團(tuán)伙專用后門Denis最新變種分析》、《微步在線發(fā)現(xiàn)“海蓮花”團(tuán)伙最新macOS后門》和《“海蓮花”團(tuán)伙本月利用Office漏洞發(fā)起高頻攻擊》等多篇報(bào)告，披露了APT32的相關(guān)攻擊活動(dòng)。近期，微步在線黑客畫像系統(tǒng)監(jiān)控到該組織多平臺(tái)的攻擊活動(dòng)，經(jīng)分析發(fā)現(xiàn)：
APT32的攻擊活動(dòng)仍在持續(xù)，近期中國、韓國、美國和柬埔寨等國金融、政府和體育等行業(yè)相關(guān)目標(biāo)遭到定向攻擊。
攻擊平臺(tái)包含Windows和macOS，攻擊手法相比之前變化不大，除都使用了偽裝Word文檔的可執(zhí)行程序之外，針對Windows平臺(tái)的還利用了CVE-2017-11882漏洞。
針對Windows平臺(tái)的木馬部分利用了白加黑技術(shù)，部分利用了Regsvr32.exe加載執(zhí)行OCX可執(zhí)行文件。此外，相比之前多利用Symantec公司簽名的程序進(jìn)行白加黑利用來投遞Denis木馬，APT32近期增加了對Intel和Adobe公司簽名程序的白加黑利用。
針對macOS平臺(tái)的木馬相較之前其Dropper和Payload加了殼和虛擬機(jī)檢測。
微步在線通過對相關(guān)樣本、IP和域名的溯源分析，共提取22條相關(guān)IOC，可用于威脅情報(bào)檢測。微步在線的威脅情報(bào)平臺(tái)（TIP）、威脅情報(bào)訂閱、API等均已支持此次攻擊事件和團(tuán)伙的檢測。
詳情
微步在線長期跟蹤全球150多個(gè)黑客組織。近期，微步在線監(jiān)測到APT32針對中國、韓國、美國和柬埔寨等國金融、政府和體育等行業(yè)相關(guān)目標(biāo)的多平臺(tái)攻擊活動(dòng)。 該組織近期手法與之前相比變化不大，其中針對Windows平臺(tái)的攻擊主要利用包含CVE-2017-11882漏洞的doc文檔結(jié)合白加黑利用和圖標(biāo)偽裝為Word的RAR自解壓文件來投遞其特種木馬Denis，針對macOS平臺(tái)的亦同樣是將macOS應(yīng)用程序偽裝為Word文檔進(jìn)行木馬投遞。
與此前一樣，誘餌文檔內(nèi)容都是模糊圖片，例如Scanned Investment Report-July 2018.ⅾocx：

樣本分析
微步在線在8月份監(jiān)控到多起APT32的攻擊活動(dòng)，涉及Windows和macOS平臺(tái)。相關(guān)分析如下：
Windows樣本
漏洞樣本
在Office漏洞利用方面，APT32近期主要利用CVE-2017-11882漏洞投遞Denis木馬。《“海蓮花”團(tuán)伙本月利用Office漏洞發(fā)起高頻攻擊》對CVE-2017-11882漏洞利用做過詳細(xì)分析，詳情可查閱相關(guān)報(bào)告。近期相關(guān)的部分漏洞樣本：
SHA256
文件名
誘餌內(nèi)容
C2
攻擊手法
e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189
July , 2018.doc
模糊圖片
ourkekwiciver.comdieordaunt.comstraliaenollma.xyz
CVE-2017-11882加Intel白利用
0abe0a3b1fd81272417471e7e5cc489b234a9f84909b019d5f63af702b4058c5
FW Report on demonstration of former CNRP in Republic of Korea.doc
模糊圖片
andreagahuvrauvin.combyronorenstein.comstienollmache.xyz
CVE-2017-11882加Adobe白利用
以e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189為例，該樣本在微步在線云沙箱的分析結(jié)果如下圖所示，從“云沙箱-威脅情報(bào)IOC”可發(fā)現(xiàn)此樣本相關(guān)C2已被識別為APT32所有。

多引擎檢測：

執(zhí)行流程：

威脅情報(bào)IOC
RAR自解壓樣本
APT32經(jīng)常使用偽裝成Word文檔的可執(zhí)行程序作為投遞木馬的載體，通常還會(huì)結(jié)合RLO手法迷惑受害者。近期偽裝成Word文檔的部分RAR自解壓文件：
SHA256
文件名
誘餌內(nèi)容
C2
攻擊手法
58e294513641374ff0b42b7c652d3b4a471e8bde8664a79311e4244be0546df4
Sum for July 2018.exe
模糊圖片
andreagbridge.comillagedrivestralia.xyzbyronorenstein.com
RAR自解壓，利用regsvr32.exe運(yùn)行OCX
78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064
feedback, Rally in USA from July 28-29, 2018.exe
模糊圖片
stienollmache.xyzchristienollmache.xyzlauradesnoyers.com
RAR自解壓，利用regsvr32.exe運(yùn)行OCX
以樣本78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064為例。使用WinRAR查看該文件，可發(fā)現(xiàn)該自解壓文件運(yùn)行后會(huì)通過regsvr32.exe加載執(zhí)行釋放的OCX可執(zhí)行文件，然后打開誘餌文檔迷惑受害者，如下圖：

該樣本在微步在線云沙箱的分析結(jié)果如下圖所示，從“云沙箱-威脅情報(bào)IOC”亦可發(fā)現(xiàn)此樣本相關(guān)C2已被識別為APT32所有。