潜藏在风平浪静中的波澜——APT-C-00海莲花组织攻击活动动态浅析

APT-C-00

  海莲花

 APT-C-00（海莲花)组织，是一个有政府背景的境外黑客组织，攻击目标主要是东亚国家的企业和政府部门，自2015年360曝光海莲花以来，360高级威胁研究院一直持续跟进监测海莲花组织的最新攻击。

自2020年起，海莲花组织的攻击逐渐从鱼叉式网络钓鱼转变为使用渗透的方式对目标进行攻击活动，在其后续的内网横向移动过程中多为使用DLL侧加载技术以逃避一些安全软件的检测。

本文将浅析海莲花组织的部分攻击动态：

    1.使用VBS脚本进行环境信息探测；

    2.使用开源免杀加载器的趋势有所上升；

    3.投递修改系统程序代码的定制化攻击载荷。

1. 使用VBS脚本探测环境信息

海莲花组织曾使用VBS脚本以任务计划的形式，执行CMD命令来获取目标主机的一些环境信息。其行为也符合近年来海莲花组织“一机一马”形式的样本中绑定HostName、内网IP、MAC地址等信息的情况。

其中脚本结构如下：

    ①初始化任务计划接口；

    ②设置任务计划的执行参数，设置任务计划描述用于伪装；

    ③执行任务计划并删除。

2. 使用开源免杀加载器

通过对APT攻击的深入挖掘，发现海莲花组织使用开源免杀加载器[1][2][3]的频率正处于上升期，其中开源加载器涉及多种编程语言，除C++、C#外，“冷门”编程语言Nim也被其作为新武器所利用。

以其中一个开源免杀加载器作说明：

该加载器将ShellCode加密储存在自身资源中，并以syscall的方式调用敏感API函数。

海莲花组织企图利用此免杀加载器本身以及此加载器加密存放ShellCode的特性来逃避安全软件的查杀。

在执行时发现ShellCode是一个PE文件，根据后续深入分析确定该文件为Cobalt Strike远控的Beacon模块。

3. 修改系统程序代码的定制化文件

海莲花组织曾使用过一种修改系统文件的定制化恶意样本。此类样本特征为在程序代码正常执行的必经点插入ShellCode以反射加载后续恶意模块。

根据文件信息溯源对比，发现被利用修改的系统文件也源自不同版本的操作系统。

系统文件、海莲花样本文件信息对比：

系统文件、海莲花样本二进制差异对比：

通过对这一类样本的挖掘和分析可以发现，早期的样本只会加载一个核心模块，该模块内置命名管道用以数据交互，而更新迭代后的样本除了加载核心模块外，还会加载数据交互模块，功能简单且只有数据交互功能，而核心模块内也将管道通信功能剔除。

数据交互模块将自身函数接口传递给核心模块。

核心模块本身也有明显的更新迭代痕迹，更新迭代后的模块精简了早期模块的部分功能：

总结上述样本特点如下：

①修改自系统文件，迷惑分析人员；

②文件内首层ShellCode做强混淆处理，增加分析成本；

③多层混淆及加密二阶ShellCode，增加检测难度；

④核心模块均不包含PE文件头，反Dump代码分析；

⑤多模块数据互通且拥有依赖关系，本身无网络通联行为，使用管道通信，系攻击者精心构造；

⑥加密交互数据，反分析数据结构。

总结

APT组织依旧在壮大自身的武器库，与安全厂商的对抗也是如火如荼，攻击者在未来也势必会以更加隐秘、更加猛烈的方式展开攻击。重视网络安全，提升自身网络安全意识，加强网络安全基础设施，才能更好地抵御网络攻击。

本文仅浅析海莲花组织在攻击活动中的新动态，详细细节将在后续报告中展开叙述。

参考

[1] https://github.com/knownsec/shellcodeloader

[2] https://github.com/1y0n/AV_Evasion_Tool

[3] https://github.com/icyguider/Shhhloader

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

原文始发于微信公众号（360威胁情报中心）：潜藏在风平浪静中的波澜——APT-C-00海莲花组织攻击活动动态浅析