Operation（Giỗ Tổ Hùng Vương）hurricane：浅谈新海莲花组织在内存中的技战术

本文仅作为安全研究，我们不关注初始样本载荷，主要披露新海莲花组织内存插件和间谍目的，天擎EDR可以在内存中精准告警新海莲花组织所有内存插件，我们建议政企客户启用云查功能来发现未知威胁。

新海莲花组织在 2022-2023 年所使用的 Cobalt Strike 有一个非常明显的特征：

木马运行后会自动将当前的屏幕截图保存为 PNG 格式并发送到 C2 服务器上，如果恰好此时攻击者正处于 RDP 的状态，那么就能在受害者机器上得到一张攻击者双击木马程序的照片：

Cobalt Strike 注入到系统进程后会在当前进程中内存加载 Rust 特马并回连新的 C2，Rust 特马的分析友商已经有过分析，故不再赘述。接着通过 Process Hollowing 的方式将文件目录收集插件注入到系统进程中。

该插件为 20 KB大小的 Shellcode，首先会获取 Temp 路径，并生成一个 UUID 与路径拼接作为中间文件。

接着会遍历文件，收集受害设备上的指定后缀文件，并将结果与 0xF1 异或后写入文件。

解密后的文件格式如下，会收集文件名和该文件的创建、修改、访问时间。

收集的指定后缀如下：pdf、png、jpg、ppt、pptx、one、ini、pfx、config、xmind、conf、ofd、7z、wpt。

写入完毕后会重新读取该文件到内存中，并删除该文件

将读取到的内容重新与 0xF1 解密后，重新进行加密。

加密算法为 128 位 AES 算法。

最后将加密的内容再与 0xF2 异或后写入文件 C:ProgramdataSogouInput.xml中。

攻击者会在后端对 xml 文件进行分析，最终挑选出窃取的目标文件，窃取完文档后攻击者如果选择进一步横向移动，一般会通过 Process Hollowing 的方式将管道特马注入到系统进程中。

该管道特马所在的内存块固定大小 0x35000，创建名为 \.pipeInitStarts 的管道循环监听。

读取管道中的数据：

通信过程中定义了一个结构体，创建线程并将结构体当作参数传入。

该线程会持续读取管道中的数据，并将数据解密后传递给工作线程，同时获取工作线程执行后的数据再解密传输到管道中。

加密算法如下：

工作线程中有大量的功能性函数，例如：文件管理、shellcode加载、命令执行等。

我们观察到新海莲花组织通过管道内存加载了 ssh 登录插件。

该插件功能就是通过内置的账密登录内网 linux 服务器：

密码为弱口令，可以推测攻击者是通过爆破的方式获取到服务器密码

通过 history 日志可以确认攻击者在浏览服务器上的目录并打包数据。

新海莲花组织在入侵边界服务器时如：web服务器、防火墙等设备会使用一款 Win | linux 双平台的特马，该特马最早在防火墙上被发现，很长一段时间内我们认为该特马只在边界服务器上部署，但是在一次对抗的过程中发现该特马被注入到 Windows的系统进程中，并且注入时间离 Cobalt Strike 的植入时间晚一周。

新海莲花组织通过该特马执行 CMD 命令，添加根证书 “certutil -addstore "ROOT" client.cer”，添加完成后选择在磁盘落地 DLL，此时的 DLL 带有数字签名，用于免杀 EDR。

新海莲花组织似乎是为数不多能够分清楚360安全卫士和天擎EDR两款杀软的APT组织，在此之前很多APT组织都认为只要能够免杀360安全卫士就能够绕过天擎EDR。新海莲花刚开始活动时使用了两种新方法分别针对360安全卫士和天擎EDR，但是很快被我们和友商发现并及时进行对抗。释放名为 propsys.dll，判断加载该 DLL 的进程是否为 360baobiao.exe

DLL 的主要功能通过 DeviceIOCtontol 关闭自保。

之后休眠 zhudongfangyu.exe 和 360rps.exe 进程，实现致盲的效果。

目前该手法已经无效。

在 UTC+8 的时区下，基于天眼设备可以观察到攻击者每天从早上10点一直工作到晚上19-20点，标准的八小时工作制，到点下班有双休，与国内红队的工作强度相比不太饱和，攻击者唯独在4月18号这一天缺勤，并且第二天“上班”时间较晚。

经过搜索发现4月18号为东南亚某国的法定节假日，称之为“雄王节”（Hung Kings/ Giỗ Tổ Hùng Vương）。

我们整理了2021-2024年间数起终端下发事件，大部分情况下其目标都聚焦在西南省份的环境和交通数据，以及我国在东亚的能源部署，这些都符合东南亚国家的利益，转折点在新海莲花出现之后，2023-2024年大规模刺探我国能源、军工领域在中亚、中东、北亚、非洲的项目和部署情况，受害终端上甚至包含向境外派遣的人员名单，这些数据并不是东南亚小国能够消化完的，更像是域外大国关注的领域，而新海莲花组织出现的时间又恰好和东南亚某国与域外大国达成网络安全合作的时间点相吻合。

以上只是我们作为网络安全厂商所观察到的事实的陈述，不针对任何国家和个人。

[2].https://mp.weixin.qq.com/s/3bmehaRuvaL5TnvdZXwYWA