【安全资讯】海莲花组织使用Web存档文件部署后门

安恒威胁情报中心 2022-01-13 15:48:30 321人浏览

引言

OceanLotus(海莲花)组织又名APT32和SeaLotus,是一个以政府和记者为目标的东南亚APT组织。近日,研究人员发现,OceanLotus组织正使用WEB存档文件(.MHT 和 .MHTML)部署后门。

 

 

简况

攻击链从一个 RAR 文件开始,该文件包含受感染的 Web 存档文件,可能通过网络钓鱼活动传播,其中的MHT文件非常大,介于 35 到 63 MB 之间,包含恶意Word 文档以及其他文件。与此恶意活动相关的 RAR 文件如下:

 

研究人员在RAR 中发现了“ Zone.Identifier ”文件,这是一个常见的 ADS(备用数据流),用于存储有关原始文件的元数据。为了绕过 Microsoft Office 保护,攻击者已将文件元数据中的 ZoneID 属性设置为“2”,使其看起来好像是从可靠的合法来源下载的。当用户使用 Microsoft Word 打开 Web 存档文件时,受感染的文档会提示受害者“启用内容”,随后执行恶意 VBA 宏。

 

 

 

该脚本在受感染的机器上执行以下任务:

  • 将有效负载拖放到“C:\ProgramData\Microsoft\User Account Pictures\guest.bmp”;
  • 将有效负载复制到“C:\ProgramData\Microsoft Outlook Sync\guest.bmp”;
  • 创建并显示一个名为“Document.doc”的诱饵文档;
  • 将有效载荷从“guest.bmp”重命名为“background.dll”;
  • 通过调用“SaveProfile”或“OpenProfile”导出函数来执行 DLL

 

 

有效载荷执行后,VBA代码删除原始 Word 文件并打开诱饵文件,显示错误提示,如下图:

 

有效载荷是一个名为“background.dll”的 64 位 DLL,通过名为“Winrar Update”的计划任务每 10 分钟执行一次。恶意软件收集网络适配器信息、计算机名称、用户名、枚举系统目录和文件、检查正在运行的进程列表。一旦收集了这些数据,后门就会将所有内容编译成一个包,并在内容发送到 C2 服务器之前对其进行加密。通过使用合法的云托管服务进行 C2 通信,即使部署了网络流量监控工具,攻击者也可以进一步降低被检测到的机会。

 

 

总结

攻击者选择合适的工具和技术从而最大限度地减少被检测到的机会,在此次恶意活动中,OceanLotus组织使用 Web 存档文件来传播受感染的文档,从而最大限度规避检测。

 

 

 

 

 

 

 

 

 

 

 

 

 

失陷指标(IOC)30
APT OceanLotus 后门 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。