【安全资讯】OceanLotus组织最新攻击手法分析

引言

海莲花（OceanLotus）是一个东南亚背景的APT组织。该组织最早于2015年5月被披露并命名，其攻击活动最早可追溯到2012 年4月，攻击目标包括人权代表、异见人士、媒体、银行、海事机构、海域建设部门、科研院所和航运企业，后扩展到几乎所有重要的组织机构，受害区域涉及东亚、东南亚、欧洲等地区，持续活跃至今。研究人员发布了对海莲花组织在过去一段时间内的攻击手法的分析回顾。

简况

海莲花组织在横向移动过程中使用了多种脚本。爆破脚本功能较为简单，仅针对445端口下的administrator账户进行爆破。经过数次版本迭代后，增加了对MSSQL、FTP、HTTP和对常见端口的扫描。海莲花在横向移动过程中会使用nbtscan脚本对内网进行扫描，利用PS脚本将编码后的Nbtscan注入到Notepad.exe中。

Getinfo脚本在执行过程中会收集操作系统相关信息、域控信息、ssh状态、RDP状态、反病毒产品、所有用户名、安装的程序列表、ipconfig、正在运行的服务、网络连接状态、进程列表、磁盘信息、Administrator用户下的目录树、C盘根目录树。管道注入脚本在执行过程中从管道中读取payload，对其进行解密，之后会随机启动如下进程中一个，并将shellcode注入该进程中：

海莲花使用Empire框架控制内网主机，搜索目标。最终会在指定目标上释放白利用组件，最终执行cobaltstrike远控。在受控主机上执行Mimikatz powershell版本的脚本，在内存中加载dll的导出函数，抓取本机密码。Cortana脚本一般作为Cobalt Strike的插件来使用。此外，海莲花组织是为数不多的能够结合特定环境定制化开发挖掘0day/Nday漏洞的APT团伙，手段较为高超，能够发起中等规模的供应链打击。

海莲花组织使用的恶意dll经过数代版本的迭代，其功能一直保持不变，都是用来解密shellcode，但是解密方式有所不同，大体可以分为如下几类：1.读资源节解密shellcode；2.读自身解密shellcode；3.从data节读取shellcode。如果基于shellcode 的行为进行分类，则可以分为如下几类：1.常规类，执行过程中解密CobaltStrike并执行。2.Dropper类，执行过程中会将白利用组件释放到%temp%目录下，并创建计划任务。3.读文件类，在执行过程中读取特定目录下的文件，第二阶段shellcode后续对文件内容进行解密。4.注入/服务类，在执行过程中启动一个挂起的进程或者创建一个服务，用于执行第二阶段shellcode。

海莲花组织使用的挖矿组件如下：

被入侵的电脑被创建一个服务，指向SCCreateProcess.exe，服务名为SCCREATEPROCESS；而SCCreateProcess.exe被执行起来后，会获取到该exe的文件名，然后附件.bat后缀后执行起来。SCCreateProcess.exe.bat文件被执行后，会执行同目录下的ControlPanel.exe.bat文件。ControlPanel.exe.bat文件会通过名字为vmware-authd.exe的挖矿程序，传递矿池和钱包地址进行挖矿操作。

总结

从2020年中开始海莲花组织逐渐放弃了基于鱼叉邮件的投递方式，开始通过渗透的手段对高价值目标进行攻击活动，该组织在入侵和横向移动过程中具备使用0day/Nday漏洞的能力。