“海蓮花”，又名APT32和OceanLotus，是越南背景的黑客組織。該組織至少自2012年開始活躍，長期針對中國能源相關(guān)企業(yè)、海事機構(gòu)、海域建設(shè)部門、科研院所和航運企業(yè)等進行網(wǎng)絡(luò)攻擊。除中國外，“海蓮花”的目標還包含全球的政府、軍事機構(gòu)和大型企業(yè)，以及本國的媒體、人權(quán)和公民社會等相關(guān)的組織和個人。
 微步在線長期監(jiān)控著“海蓮花”的活動動向，曾發(fā)布多份關(guān)于該團伙的分析報告《“海蓮花”團伙的最新動向分析》、《“海蓮花”團伙專用后門Denis最新變種分析》和《微步在線發(fā)現(xiàn)“海蓮花”團伙最新macOS后門》。微步在線監(jiān)測發(fā)現(xiàn)，2018年4月份以來，該團伙攻擊活動異常頻繁，并開始利用高危Office漏洞來投遞其常用特種木馬Denis，具體內(nèi)容包含：
據(jù)微步在線威脅情報云監(jiān)測發(fā)現(xiàn)，本月APT32 的攻擊活動異常頻繁，中國能源和金融相關(guān)企業(yè)，以及越南周邊的柬埔寨等國的相關(guān)目標遭到攻擊，其中國內(nèi)是重災區(qū)。
2018年4月以來，APT32開始大量利用CVE-2017-11882和CVE-2017-8570等Office漏洞投遞其特種木馬Denis，攻擊過程中利用了“白利用”技術(shù)。
APT32在2018年4月5日前后集中注冊了幾十個域名，并開始使用后綴為info、club和xyz的頂級域名，且其中部分已被用于真實的攻擊。
鑒于此次攻擊行動相比之前，目標更廣、頻次更高，建議國內(nèi)相關(guān)行業(yè)（金融、能源和政府）及重點單位及時排查。
微步在線通過對相關(guān)樣本、IP和域名的溯源分析，共提取59條相關(guān)IOC，可用于威脅情報檢測。微步在線的威脅檢測響應平臺（TDP）、威脅情報訂閱、API等均已支持此次攻擊事件和團伙的檢測。
詳情
微步在線長期跟蹤全球100余黑客組織。近期，微步在線監(jiān)測到APT32的活動加劇，持續(xù)針對中國能源和金融等相關(guān)企業(yè)，以及越南周邊的柬埔寨等國的相關(guān)目標發(fā)起攻擊。微步在線的狩獵系統(tǒng)捕獲了一批APT32的最新攻擊樣本，分析發(fā)現(xiàn)這些樣本利用了CVE-2017-11882和CVE-2017-8570漏洞投遞其專有的特種木馬Denis，相關(guān)樣本如下：
SHA256
漏洞
C2
文件名
e5c766ad580b5bc5f74acc8d2f5dd028c11495d2ce503de7c7a294f94583849d
CVE-2017-11882
straliaenollma.xyz andreagahuvrauvin.com byronorenstein.com
Document_GPI Invitation-UNSOOC China.doc
0d1577802d4560b9ba184a2d13570ba28ed0318eee520f2f7a6c5ef238671dd9
CVE-2017-11882
stopherau.com orinneamoure.com ochefort.com
 
3a3bc31afcf2ec82ff9ac0016ce47e10833227665ab056117520bdf097525c63
CVE-2017-8570
tsworthoa.com earlase.com aximilian.com
 
abfcba26e50a88c2ce507212b15d2ee24c28fc8b28edeaae27f70faaf6fae700
CVE-2017-8570
orinneamoure.com ochefort.com icmannaws.com
Monthly Report 03.2018.doc
Denis是APT32最常用的特種木馬，是一個全功能的后門，包含多種對抗技術(shù)，其特征是使用DNS隧道技術(shù)與其C2通信。Denis此前主要通過雙擴展，虛假Word、Excel、WPS和PDF圖標，虛假更新（Adobe、FireFox、Google），以及字體相關(guān)工具誘導受害者點擊可執(zhí)行文件進行傳播。之前的一些誘餌文件的文件名和圖標如下：

樣本分析
以最新捕獲的誘餌文檔“Document_GPIInvitation-UNSOOC China.doc”為例進行分析，該文檔包含CVE-2017-11882漏洞利用，觸發(fā)漏洞利用之后會交付APT32的特種木馬Denis。
1、 該樣本的基本信息如下：
文件類型
rtf
文件大小
       3139367 字節(jié)
文件名
Document_GPI Invitation-UNSOOC China.doc
SHA256
e5c766ad580b5bc5f74acc8d2f5dd028c11495d2ce503de7c7a294f94583849d
SHA1
e2d949cf06842b5f7ae6b2dffaa49771a93a00d9
MD5
02ae075da4fb2a6d38ce06f8f40e397e 
2、 該樣本在微步云沙箱的分析結(jié)果如下圖：


https://s.threatbook.cn/report/file/e5c766ad580b5bc5f74acc8d2f5dd028c11495d2ce503de7c7a294f94583849d/?env=win7_sp1_enx86_office2010
3、  該文檔包含CVE-2017-11882漏洞利用，打開后會顯示一模糊圖片來迷惑受害者，如下圖：

4、 該誘餌文檔觸發(fā)CVE-2017-11882漏洞后的整體執(zhí)行流程如下圖，該漏洞的相關(guān)分析見附錄的“漏洞分析”。

打開文檔觸發(fā)漏洞之后會執(zhí)行shellcode1，shellcode1會繼續(xù)執(zhí)行shellcode2，shellcode2最終會在C:\ Program Files\目錄下創(chuàng)建一個隱藏文件夾Microsoft-Windows-DiskDiagnosticResolver_2021325962，向該目錄釋放三個文件：MicrosoftWindowsDiskDiagnosticResolver.exe、rastls.dll和OUTLFLTR.DAT，然后啟動MicrosoftWindowsDiskDiagnosticResolver.exe。
MicrosoftWindowsDiskDiagnosticResolver.exe是一個包含Symantec簽名的白文件，啟動后會加載同目錄下的惡意rastls.dll，這是典型的“白利用”技術(shù)。rastls.dll最終會交付APT32的特種木馬Denis，相關(guān)“白利用”技術(shù)和Denis木馬的詳細分析見微步在線發(fā)布的報告《“海蓮花”團伙專用后門Denis最新變種分析》。