近期,互联网上流传着网络安全人员使用的提权工具被植入后门,导致工具用户身份和数据泄露的消息。ThreatBook 研究与响应团队分析后,认定此事件为东南亚 APT 组织 OceanLotus(APT32)的一次定向攻击,该组织利用 GitHub 发布了一个带有木马的 Cobalt Strike 漏洞利用插件,专门针对网络安全人员。ThreatBook 早在 2024 年 11 月就已掌握此攻击事件,并定位到攻击者的 GitHub 账户。
此次攻击中,攻击者首次使用了一种新颖且隐蔽的攻击方式,将恶意的.suo文件嵌入到Visual Studio项目中,当受害者编译Visual Studio项目时,木马就会自动执行。
海莲花近期针对中国不同行业、团体以及特定的大型科技企业发起了定向攻击。首次攻击发生在2024年9月中旬至10月初,ThreatBook已捕获多个可疑资产及木马文件。
ThreatBook通过对相关样本、IP及域名的分析,提取了多个相关的IOC用于威胁情报检测。ThreatBook的威胁检测平台(TDP)、威胁情报平台(TIP)、威胁情报云API、云沙盒S、沙盒分析平台(OneSandbox)、基于DNS的安全Web网关(OneDNS)、威胁防御系统(OneSIG)以及安全终端云(OneSEC)均支持对本次攻击事件的检测和防护。
事件摘要
| 攻击目标 | 中国网络安全研究人员 |
| 攻击时间 | 2024年10月中旬 |
| 攻击向量 | GitHub 中毒 |
| 攻击复杂性 | 复杂 |
| 客观的 | 远程控制、情报窃取 |
事件详情
此次OceanLotus攻击的主要手法是将开源安全工具项目发布到GitHub上,吸引中国网络安全研究人员下载并进一步传播。中毒账号链接为:https://github.com/0xjiefeng
2024年10月10日,攻击者注册了该账号,并伪装成中国某领先金融科技公司的安全研究员,在其主页上fork各种安全工具项目,以降低受害者的警惕性。
2024年10月14日和10月21日,攻击者发布了两个恶意投毒项目,其中包含常用中国红队工具Cobalt Strike的插件,并添加了新的漏洞利用功能。攻击者在项目介绍中使用中文描述,以吸引更多中国网络安全行业的目标。
目前,攻击者的账户已删除了已发布的项目,但中毒项目代码已被合并到其他中国网络安全研究人员的存储库中,并且仍然可以访问。
项目介绍中的中文表述有明显的机器翻译痕迹,主要引导目标用户使用Visual Studio打开项目的.sln文件,从而触发后续恶意代码的执行。
当受害者使用 Visual Studio 打开 .sln 或 .csproj 项目文件时,Visual Studio 会自动加载并调用关联的 .suo 文件,从而触发恶意代码的执行。在本次事件中,OceanLotus 首次使用了调用 .suo 文件的技术,恶意代码执行一次后即被覆盖删除,具有极强的隐蔽性。
相关技术验证可以参考文章:
https://github.com/cjm00n/EvilSln
据后续分析,此次中毒事件在国内网络安全行业内传播较为广泛,国内多家网络安全博客分享了该中毒项目,获得了大量的阅读和转发。
相关性分析
当目标受害者使用 Visual Studio 打开项目的解决方案文件(.sln)进行编译时,Visual Studio 会自动加载并调用相关的 .suo(解决方案用户选项)文件,从而触发恶意代码的执行。而且,由于 Visual Studio 在关闭时会将新内容保存到 .suo 文件中,因此恶意代码会被清除,使得整个攻击行为更难以检测。
通过加载VSPackage中的VsToolboxService流,利用base64编码的BinaryFormatter进行反序列化来执行恶意代码。
经过样本分析发现,执行该项目后,恶意白底黑字组件被释放到目录:
C:UsersPublicTTDIndexerX64TraceIndexer.exe
C:用户公共TTDIndexerX64TTDReplay.dll
并将其写入自动启动注册表:
在shellcode执行方面,采用了OceanLotus组织常用的dll挖空技术。通过加载系统xpsservices.dll并进行挖空,将shellcode覆盖到dll的内存空间中执行恶意函数。该程序最终利用国外笔记平台Notion的API实现C2通信,规避流量检测和拦截,并将命令嵌入到Notion工作空间中,实现指令的初始发送和接收。
在样本层面,根据样本的代码结构、加载方式、元数据、字符串等特征,可以关联出更多相似的文件。在关联样本中,“tbs.dll”的父文件正是安全公司OceanLotus披露的利用鱼叉式钓鱼邮件攻击我国政企行业的样本。
ThreatBook通过映射数据关联发现,该组织在本次攻击活动中的资产并非局限于单一的C2资产,攻击资产具有明显的端口映射特征。OceanLotus组织本次开始主动攻击的时间范围大致在9月中旬至10月初。根据映射数据与OceanLotus组织此批攻击活动中样本的编译时间对比,资产部署时间基本吻合。通过相关特征搜索,还发现了其他活跃的可疑C2地址。
在分析同一批攻击样本时发现,OceanLotus此次的攻击目的性较强,部分样本在执行过程中会检查受害者计算机名称与目标是否一致,以针对特定的大型科技企业用户进行攻击。
IOC
Page_id back to Notion:
11f5edabab708090b982d1fe423f2c0bRelated OceanLotus attack C2s:
190.211.254.203:444345.41.204.18:844345.41.204.15:443178.255.220.115:443103.91.67.74:4443154.93.37.106:443193.138.195.192:844338.54.59.112:80
原文始发于微信公众号(Ots安全):APT32 攻击 GitHub,瞄准国网络安全专业人士和特定大型企业
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论