docx转换doc_攻击我国政府的海莲花又来幺蛾子

“海莲”,又名APT32和OceanLotus,是一个有越南背景的黑客组织。

docx转换doc

自2012年以来,一直在积极攻击中国的能源相关产业、海事机构、海事建设部门、科研机构和航运企业。除了中国之外,“海莲”的目标还包括世界各地的政府、军事机构和大型企业,以及相关组织和个人,如该国的媒体、人权和民间社会。

在攻击过程中,APT32一直在尝试不同的方法来实现恶意代码并绕过目标系统上的安全检测。其中,白色运用和C2交通伪装是常用的。

最近,微步在线狩猎系统捕捉到了APT32攻击我国的诱饵。诱饵使用两层白色用于动态链接库劫持,第一层是Word白色使用,第二层是360安全浏览器白色使用,最终交付木马是钴击信标后门,C2通信使用安全浏览可扩展C2配置

诱饵”工作方向进度的总体攻击过程。2019年第一季度rar "如下:< br>

docx转换doc

分析显示

诱饵文件名是"工作方向计划表。2019年第一季度的rar。在攻击过程中,诱饵使用两层白色利用进行DLL劫持,第一层是Word白色利用,第二层是360安全浏览器白色利用两层白色使用是APT32的新攻击方法。截至报告时间,诱饵尚未被发现用于杀死软物体。

此次攻击中最终交付的木马是钴击信标后门,它具有进程注入、文件创建、服务创建、文件发布等功能。C2通信使用安全浏览可扩展C2配置。

微步在线通过对相关样本、IP和域名的可追溯性分析,共提取5个相关IOC,可用于威胁情报检测威胁情报平台、威胁检测平台、应用编程接口等。都支持对这次攻击和团伙的检测。

截至报告发布时,尚未进行软检测。

样本分析

诱饵”2019年第一季度工作方向计划表。rar”是一个压缩文件,解压缩后获得“2019年第一季度工作方向计划表”。EXE”和“wwlib.dll”,其中“2019年第一季度工作方向计划表”。EXE "是一个Word 2007的可执行程序,包含一个有效的数字签名,打开后将加载wwlib.dll在同一个目录下,而wwlib.dll设置了系统和隐藏属性相关截图如下:

docx转换doc

1。以下是对wwlib.dll的分析。

1)wwlib.dll的基本信息如下:

docx转换doc

2)通过白色利用加载动态链接库后,将获得系统磁盘字符,然后系统磁盘字符将显示在“程序数据\ 360电子维护”目录中写入“chrome_elf.dll”和“360se.exe”文件中,其中“360se.exe”是带有数字签名的白色文件。相关截图如下:

docx转换doc

6-

3)恶意“wwlib.dll”还将构造一串“2019年第一季度工作方向计划表”。然后在系统的Temp目录中写一个带密码的docx文档,把自己伪装成一个普通的文档。相关代码:

docx转换doc

4)如果是首次运行。医生“和”。docx”条目将在注册表目录“软件\\类”中创建,然后将调用WORD程序打开。发布到临时目录的docx文件。相关代码:

docx转换doc

5)如果有”。医生“和”。第二次运行查询“软件\\类”中的docx,然后执行“360se.exe”文件,并附加临时目录释放的docx文件路径作为参数。相关代码:

docx转换doc

2。以下是对chrome_elf.dll的分析。

1)Chrome _ elf.dll的基本信息如下:

docx转换doc

2)Chrome _ elf.dll由360se.exe加载,然后在动态链接库初始化。解析参数,然后调用WORD程序打开参数中的文件,并调用CryptAPI函数解密内存中的URL链接。解密后的网址是。CryptAPI函数代码的一部分:

docx转换doc

3),然后“360se.exe”调用动态链接库中的“SignalInitializeCrashReporting”来执行和判断是否有“360se.exe”进程,如果没有,则不执行恶意代码。相关代码:

docx转换doc

4),然后从https://officewps.net/ultra.jpg下载有效载荷进行第三阶段攻击。相关代码:

docx转换doc

5)下载完成后,将有效负载复制到新应用的内存空间。跳转到有效负载的0偏移位置执行。相关代码为

docx转换doc

3和第三阶段“ultra.jpg”分析

1)。ultra.jpg的基本信息如下:

2)首先,有效载荷的外壳代码将获得相关的应用编程接口地址。相关的应用编程接口截图:

docx转换doc

docx转换doc

3),然后循环解密有效负载中的数据。解密完成后,创建了钴打击信标后门的动态链接库版本。

docx转换doc

4)调用CreateThread来创建线程,从解密的0偏移位置执行,并反射性地加载该动态链接库

docx转换doc

5)连接C2地址并请求在线请求的网址。C2通信使用安全浏览可扩展C2配置

docx转换doc

docx转换doc

6)后门包含多达76个C2命令,包括进程注入、文件创建、服务创建、文件发布等

docx转换doc

相关性分析

根据与此次攻击相关的TTPs和背景信息,我们认为此次攻击背后的攻击者是APT32该攻击与以前的一些攻击比较如下:

docx转换doc

发现文章

真相文章

▼br >

-

西班牙罗莎红酒u619docx转换doc_微信新增4简单极致的小程序,网友评:终于等到了!
热门推荐
  • 美国垄断企业_美国银行企业中心
  • 内部股权协议书纠纷_股权书协议书
  • 智能物联网上市公司_智能物联网
  • 乡村小医神 独孤纯水_高手神医叶枫全文
  • 2017全运会散打预赛_2021全运会篮球预赛
  • 京东订单怎么删除订单_京东交易成功订单怎么删除
  • 如何评价里皮_里皮对国足的评价
  • 女装外套荿2018新款_秋装新款女装外套2018
  • 一线明星捐赠20万元。林俊杰·孙燕姿熬夜写歌,在网上花了18个小时,获得了200万元的好评。
  • 张雪领杭州公司_ 菏泽小伙张雪领杭州救人遇难,追悼会今天上午在郓城举行
  • canon 6d2评测_6d2评测视频
  • 室内设计毕业设计_室内设计毕业设计案例
  • 广州来穗人员967.33万人,已超广州户籍人口!
  • tricks是什么意思
  • 研究生思想政治调查表怎么填_教师思想政治表现怎么填
  • 万万没想到4_万万没想到4游戏攻略
  • 一百万的车要交多少税_买进口车要交哪些税
  • 婚纱照精修照片不送单张_底片不送一张精修
  • 宠物小精灵之黑暗巨头_宠物小精灵之极限培育
  • 诺基亚c5软件免费下载_诺基亚c5软件下载