APT-C-00（海莲花）双重加载器及同源VMP加载器分析

APT 2天前 admin

91 0 0

APT-C-00

海莲花

APT-C-00（海莲花）（也称OceanLotus）组织是一个有政府背景的境外黑客组织，自2015年360曝光海莲花以来，360高级威胁研究院一直持续跟进监测海莲花组织的最新攻击。

360高级威胁研究院在APT威胁狩猎中发现并捕获了2024年海莲花针对高价值目标发起的网络攻击。此次攻击中与以往不同的是海莲花对使用近两年半的双重后门加载器进行了“加工”，利用VMProtect软件对加载器进行了加壳保护，在反静/动态分析层面进一步加强了安全对抗程度。

样本分析

1. 双重加载器

模块1

MD5	2109479e62f3c45bab00768553b158b8
文件类型	DLL动态链接库
文件大小	225280 Bytes
编译信息	MSVC

该模块是一个MSVC DLL文件，通过分析可以发现该DLL是在Visual Studio生成的默认桌面应用程序项目基础上进行修改和“加料”，主要工作流程如下:

首先，攻击者会收集主机名和磁盘信息；

然后创建目录%Temp%NVidiaSetupkd8812u，以文件流的方式写入此前收集的主机信息，在等待一定时长后调用函数ShellExecute打印文件流，其寓意暂时未知。

随后则是加载一个包含加密载荷的DLL文件，参数为加载的DLL文件模块句柄和解密Key，参数格式：小写十六进制模块句柄_解密Key。

模块2

MD5	d21c4b1c1db2c9f443c4ba271f738c91
文件类型	DLL动态链接库
文件大小	2503168 Bytes
编译信息	GoLang

该模块由Go语言编写，其中包含多个开源项目，主要工作流程如下：

利用开源项目gopsutil[1]收集主机信息并写到指定路径。

利用开源项目screenshot[2]截取屏幕图像并写到指定路径，截屏图像的路径则写入如上提到的信息收集文件。

接下来是该组件的主要流程，解密并执行恶意载荷。

首先将上级MSVC加载器传入的解密Key进行十六进制解码。

然后解码资源中的Base64编码数据，再利用解密Key解密恶意载荷（此处使用的是RC4算法），最后调用恶意载荷。

载荷

恶意载荷共有两段，第一段载荷功能主要为循环解密并调用第二段载荷。

第二段载荷则主要是反射加载CobaltStrike Beacon模块。

通过解析Beacon模块配置信息可知C2：strengthening-memories-reports-restoration.trycloudflare.com:443。

2. VMP双重加载器

在日常APT狩猎中我们发现了一组后门加载器，第一时间进行分析后确认了这组加载器是海莲花双重加载器的VMP版本。

（以下对比图左侧均为无壳加载器，右侧均为VMP加载器代码中未被VM或混淆的部分。）

模块1

MD5	26669891d83b8a706d2c0af91292247c
文件类型	DLL动态链接库
文件大小	7072768 Bytes
保护器	VMProtect 3.XX x64

通过绝对路径加载GoLang恶意模块部分代码对比：

模块2

MD5	4ce5ea38c4d486bed7f6d9e9208133c6
文件类型	DLL动态链接库
文件大小	8276480 Bytes
保护器	VMProtect 3.XX x64

Base64解码及解密恶意载荷部分代码对比：

载荷

解密第二阶段恶意载荷部分代码对比：

最后同样是反射加载CobaltStrike Beacon模块，通过解析Beacon模块配置信息可知C2：64.176.58.16:80。

总结

近年APT组织皆有使用Rust、Nim、GoLang等多种编程语言开发后门程序的先例，海莲花组织执行假旗行动的效果较为显著，将攻击细节[3][4]模仿为已披露的APT组织（APT29、Gamaredon等），目的就是诱导安全人员错误的归属攻击，淡化自身的活跃度。本次攻击活动在VMP源代码泄露后使用其保护加载器，也让分析成本大大增加。因此我们可以预见未来在捕获攻击，样本分析，归属研判等方面或将面临巨大的挑战。

附录 IOC

MD5

4a8756b22029a88506744ab7864c9b83

2109479e62f3c45bab00768553b158b8

d21c4b1c1db2c9f443c4ba271f738c91

9ad37ce054ca1523d26bb49fbc80dff6

26669891d83b8a706d2c0af91292247c

4ce5ea38c4d486bed7f6d9e9208133c6

C&C

strengthening-memories-reports-restoration.trycloudflare.com:443

64.176.58.16:80

参考

[1] https://github.com/shirou/gopsutil

[2] https://github.com/kbinani/screenshot

[3] https://mp.weixin.qq.com/s/IB2w86cXcpmGS8qrOnprKw

[4] https://ti.defender.microsoft.com/articles/541a465f

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

原文始发于微信公众号（360威胁情报中心）：APT-C-00（海莲花）双重加载器及同源VMP加载器分析

版权声明：admin 发表于 2024年9月23日下午6:35。
转载请注明：APT-C-00（海莲花）双重加载器及同源VMP加载器分析 | CTF导航

Multi-year Chinese APT Campaign Targets South Korean Academic, Government, and Political Entities

admin

747

APT-C-09（摩诃草）组织针对巴基斯坦最新攻击活动

admin

622

APT组织蔓灵花最新样本分析

admin

665

NLazarus APT组织针对海事研究组织进行网络攻击活动

admin

111

Fantastic Rootkits and Where to Find Them (Part 2)

admin

535

APT-C-35（肚脑虫）组织在移动端采用新的投递方式分析

admin

1,238

APT-C-00（海莲花）双重加载器及同源VMP加载器分析

样本分析

1. 双重加载器

模块1

模块2

载荷

2. VMP双重加载器

模块1

模块2

载荷

Lazarus APT组织针对海事研究组织进行网络攻击活动

没有更多了...

相关文章

相关文章

APT-C-00（海莲花）双重加载器及同源VMP加载器分析

样本分析

1. 双重加载器

模块1

模块2

载荷

2. VMP双重加载器

模块1

模块2

载荷

Lazarus APT组织针对海事研究组织进行网络攻击活动

没有更多了...

相关文章

广告位

相关文章