疑似海莲花又有新活动，攻击目标似为国内大型企业

背景

近期安全研究院猎影威胁分析团队在文件威胁分析平台上监控发现疑似海莲花组织又有新的活动出现，其攻击目标似为国内大型企业。

海莲花（OceanLotus）是高度组织化的、专业化的境外国家级黑客组织。其活动迹象最早可追溯到到2012年，攻击目标包括中国及及其他东亚国家(地区)政府、海事机构、海域建设部门、科研院所和航运企业等。很明显海莲花组织是一个有国外政府支持的APT(高级持续性威胁)组织。

分析

本次捕获到的样本名称为“定-关于报送2019年度经营业绩考核目标建议材料的报告.doc”，这是一个包含恶意宏代码的诱饵文档。打开文档内容如下：

执行宏代码，

通过regsvr32.exe 注册调用~$doc-ad9b812a-88b2-454c-989f-7bb5fe98717e.ole程序，该程序为dll文件，

注册函数会跳转到DllUnregisterServer_0函数进行执行，

其会再次通过regsvr32.exe调用自身，

然后在新进程中释放伪装文档：

 并解密出最终的payload进行执行。最终的payload为复杂木马。

回连域名包括：

jcdn.jsoid[.]com

news.shangrilaexports[.]com

clip.shangweidesign[.]com

关联

文档模板在海莲花历史攻击样本中出现过类似的，如“2018年公司总结报告补充建议.doc”（md5: 115f3cb5bdfb2ffe5168ecb36b9aed54）。

使用regsvr32.exe调用DllRegisterServer，在样本

“THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE”

（md5:2aa2d2cc63122b498c82f76244646199）等中出现过

与该复杂木马相似的木马也是海莲花使用的远控载荷之一，如“WinWord.exe”SFX样本

（md5:d87e12458839514f1425243075cfc078）。

可见该次活动似与海莲花关联。

域名分析

可以通过域名看出一些相关对标内容。

jcdn.jsoid[.]com 疑似某科技公司

news.shangrilaexports[.]com 字面意思为香格里拉出口

clip.shangweidesign[.]com 某设计公司

IOC

md5

3c3b2cc9ff5d7030fb01496510ac75f2

8e2b5b95980cf52e99acfa95f5e1570b

domain

jcdn.jsoid[.]com

news.shangrilaexports[.]com

clip.shangweidesign[.]com

IP

77.245.76[.]66

5.104.110[.]170

94.177.123[.]137

防御建议与总结

企业应当注重培养人员安全意识，不轻易打开未知来源的邮件及附件，不随意点击未知链接，不随意打开未验证可靠来源的文档。及时为信息系统打好补丁。

部署安恒APT预警平台，安恒APT预警平台能够发现已知或未知的威胁，APT预警平台的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性，并能够对邮件投递，漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统，可将国内外的威胁数据进行汇总，并分析整个攻击演进和联合预警。

猎影威胁分析团队将持续关注网络安全动态。

团队简介

猎影威胁分析团队是安恒安全研究院一支专注于攻防技术研究的团队，团队由一支擅长攻防技术研究、APT分析、二进制研究的年轻队伍组成。欢迎有志于安全检测、二进制研究和攻防技术研究的小伙伴加入我们团队。

招聘二进制安全研究员

职位描述：

1、在日常可疑文件分析的基础，进行数据挖掘，寻找APT攻击事件；

2、分析客户反馈的可疑文件，编写分析报告，提供解决方案等；

3、负责热门安全事件、最新漏洞的分析，编写分析报告或poc代码等

4、研究新的检测方法，维护和完善APT检测等产品策略

5、协助内部威胁分析平台建设等

职位要求：

1、熟悉windows、Linux上调试手段，能够熟练使用常用逆向分析工具（IDA、WinDbg、OD等);

2、熟悉C/C++、汇编语言，至少熟悉一门脚本编程语言，能快速完成POC代码编写；

3、熟悉病毒、木马通信原理和常用技术以及常见加密算法等；

4、熟悉安全漏洞原理，有独立文档漏洞分析能力；

5、至少1年以上逆向分析、安全研究相关工作经验，能力优先不受工作年限限制；

6、具备大数据挖掘能力，对数据极度敏感，能够快速对数据进行关联分析；

7、思路清晰，善于主动思考，有创新、能独立分析和解决问题，具有良好的沟通能力和团队合作精神；

8、有漏洞分析、病毒木马分析、Web攻防、威胁情报挖掘、反APT攻击、机器学习相关、IOT、ICS等工作经验的优先。