海蓮花（OceanLotus、APT32）是一個具有越南背景的黑客組織。該組織最早被發現于 2012 年 4月攻擊中國海事機構、海域建設部門、科研院所和航運企業。主要使用魚叉和水坑攻擊方式，配合社工手段，利用特種木馬進行符合越南國家利益的針對性竊密活動。
近日，啟明星辰金睛安全研究團隊發現了一起該組織的最新攻擊事件，我們還原了從投放到最后遠控釋放的整個攻擊過程。
載荷分析
本次投放的惡意文檔名為Đơn khiếu nại，文件名為越南語，翻譯后中文意思為“投訴”。

該文檔實際為一個惡意宏文檔，打開后會顯示誘惑用戶啟動宏開關的圖片。

通過進入宏代碼窗口，發現設置了密碼保護。

經過處理，我們獲取到了一段混淆較為嚴重的VBS代碼。

經過混淆解密后，可以得到以下VBS代碼。

解密后，該腳本會去加載一段新的vbscript腳本，值得一提的是，在獲取該段腳本過程中，我們發現存在區域限制問題，即在某些國家和地區無法對其進行下載，最后我們通過某些途徑將其獲取到。
VBS Loader分析
得到該腳本后，我們發現該段代碼也具有強混淆手法。

經過分析發現，原始文件存在3段代碼，分別使用了0×35, 0×39, 0×35作為異或解密的密鑰。
第一段代碼如下所示。這段代碼新建了一個Excel對象，并修改了注冊表中AccessVBOM的值，使腳本可以對宏進行調用執行。

第二段代碼為該Excel對象的宏代碼，該段宏代碼經過了一定的混淆，并使用了0×78來異或加密其中的字符串。并使用CreateProcess來調用rundll32，然后將一段shellcode注入到該進程中，并最終通過CreateRemoteThread加載該段shellcode。
shellcode的前半部分是base64解碼程序，后半部分是base64數據。
宏代碼中的shellcode內容如下所示。

shellcode的前0×76個字節是一個loader，作用是對后面的數據進行解碼并加載。該數據的編碼為base64，經過解碼后可以得到另一段shellcode，如下所示。

這段shellcode會連接C&C服務器，下載另一段shellcode內容并直接加載。
第三段代碼如下所示。這段代碼調用了該Excel的Auto_Open函數，并關閉Excel對象，恢復注冊表中的AccessVBOM字段。

遠控分析
最終的shellcode在下載完成并運行后，首先shellcode頭部通過將偏移0×34和0×38處的數據進行異或求得數據的總長度，然后對隨后的數據進行異或解密，在全部解密完成后開始執行代碼。

解密后得到一個DLL文件，該文件的導出模塊名為17f2d8.dll，導出函數名為_ReflectiveLoader@4。

在DllMain函數的開頭，會對0×10030028處大小為0×1000的數據進行異或0×69解密。

在解密后的數據中，可以發現該后門回連的C&C服務器為：
https://***.***.net,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books
另外，該樣本也在請求中將自己偽造為amazon.com，將傳輸的數據編碼后隱藏在Cookies字段中。

當得到C&C服務器發過來的指令后，該遠控便會執行相應的操作，通過統計發現有長達72種指令。

以下為其中幾種指令的功能。

溯源與關聯分析
Shellcode關聯
結合該VBS腳本下載的shellcode的編寫技巧，我們通過以往追蹤海蓮花組織的經驗，發現該段shellcode與以往海蓮花組織所使用的shellcode手法幾乎一致。

（上圖為本次攻擊中使用的shellcode，下圖為以往海蓮花所使用的shellcode）

同源性關聯分析
除了shellcode外，從本次攻擊中最后釋放的遠控，與在我們以往披露的海蓮花組織報告中（詳見《2017網絡安全態勢觀察報告》），無論是回傳特征，還是代碼結構，都幾乎一致。

甚至連偽裝成amazon的host主機也一致。

因此可以確認，本次攻擊的確為海蓮花組織發起，并且該組織仍然在沿用以往的武器。
除此之外，由于本次攻擊中，文件名為越南語書寫，且標題與商業相關，因此很有可能目標針對越南相關的私營企業。
目前，VenusEye威脅情報平臺已經支持對此次海蓮花組織攻擊活動的相關IOC報警。如下：

點擊APT32可以獲取到該組織的相關文章與情報，歡迎業界同仁前來試用（https://www.venuseye.vip/）