海莲花组织向招聘单位发出应聘请求,并附上简历链接

释放双眼,带上耳机,听听看~!

接着昨天那篇的完整版,灵魂P图系列+1,各位大佬可以帮忙转转

前言

文章里不止标题一点,还有很多扩展分析,包括钓鱼站点完整分析和opendir的一批恶意文档。

背景回顾

海莲花作为老牌APT组织,其创新模式非凡,脑洞很大,如去年他们投放了一封邮件,当受害者(越南某公司)在收到海莲花组织发来的邮件后,该邮件内嵌了一个url,该url下载后是一个恶意文档。

此时该受害者回复,文档下载失败后,而该组织随后重发了一封邮件说明抱歉,并且此次的邮件中带有附件。

点下面链接可以回顾

来自海莲花组织的道歉,然后再给你扔了个恶意文档

巧合的是,在我回去看当时的文章时候,发现文章中攻击所用的邮箱地址名称,和本次攻击事件的邮箱地址名称,具有一定的相似性,均有一个90字符。

上面的文章的邮箱地址为

diemtruong90.sk@gmail.com

本次的邮箱地址为

minhduc90.ng@gmail.com

并且,本次攻击中的域名和上文中所使用域名同样具有相似性。

下面为本次攻击的具体情况。

分析整理

本次海莲花组织投放的邮件标题名为

“Apply CV at … — Nguyen Minh Duc”

(申请简历…… – Nguyen Minh Duc )

邮件内容:

To whom it may concern,

My name is Minh Duc,

After reading and researching the position you posted a Machine Leaning Forum on Facebook,I’d like to express my interest in applying.With highly proficient in Data analytics and strongly in Python.,I am more than confident and ready to be an collaborative member in your team. Also,I’ve attached my CV in this email.

I’m looking forward to hearing from you soon.

Best,

My resume

翻译:

敬启者,

我的名字是Minh Duc,

在阅读并研究了你在Facebook上发布机器学习论坛的职位后,我想表达我对应聘的兴趣。我非常精通数据分析,并且非常擅长Python。我非常自信并准备在你的团队中成为一名合作成员 ,另外,我已在此电子邮件中附上我的简历。

我很期待收到你的回复。

最好,

我的个人简历

邮件中含有一个URL

https://mycv.vip/downloads/cv-ducnguyenminh.doc

其会去下载一个名为CV-ducnguyenminh.doc的文档

MD5:

CB39E2138AF92C32E53C97C0AA590D48

该doc文件以MIME DOC格式下载,其包含一个ActiveMime

(editdata.mso,在MIME DOC文件中用Base64编码)

将上面的editdata.mso段转储出来并使用Base64对其进行解码以获得ActiveMime对象。对于ActiveMime对象,其仅在偏移量0x32中使用zlib压缩数据。

运行下面的python代码以获取包含内部宏的OleObject文件。

解压代码

而宏代码会负责解码Base64以将WinwordUpdates.exe和wwlib.dll文件存储到Appdata文件夹中,并创建taskjob以执行WinwordUpdates.exe文件

要获取两个文件,有两种方法:

  • 方法1:

  • 在doc文件中打开doc文件并运行宏代码,然后到Appdata文件夹中获取文件 – >手动运行

  • 方法2:

  • 在MIME DOC文件中搜索字符串“ TVqQAAMAAAAEAAAA ”(这将找到这两个文件的两个主要编码的base64编码段),然后复制Base64段进行解码

这里通过WinwordUpdates.exe进行dll劫持,完成一次白利用。

WinwordUpdates.exe   白文件

CEAA5817A65E914AA178B28F12359A46

wwlib.dll 劫持用的恶意DLL

8CCFD46A24D3BCBEE934AF91DDA8483D:

恶意wwlib.dll文件由WinwordUpdates.exe文件使用LoadLibraryW函数加载,然后调用导出FMain函数:

WinwordUpdates.exe中的LoadLibraryW – >调用FMain函数

加载wwlib.dll后将调用FMain导出函数,可以看到其会去下载一个文件。

Url: https://outlook[.]updateoffices[.]net/vean32[.]png

mycv.vip whois信息

vtv-news.net 应该也是海莲花组织的域名

http://vtv-news.net/downloads/updatechrome.reg

被模仿的域名mycv.com是一个招聘网站

mycv.vip 主站显示

通过google搜索找到了高清版

urlscan结果,5个月 前站点就存在并挂有PDF

打开上面的主站,其会显示未找到“Sans-serif”字体,需要安装的提示框

点击会通过亚马逊的网盘(老喜欢用这招)去下载文件

https[:]//download-attachments.s3.amazonaws[.]com/6dfa5b468f383a147c5be7905dc833bd16aeb68e/ffd856a2-b0e5–4c7f-9960–2b7a6ec4e9d5

紧接着会下回来一个注册表脚本文件 updateChrome.reg

1、创建taskjob以运行%programdata% ctfmon.exe,并在相同的目录下加载ctfmon.config文件

2、将wscript.exe复制到%programdata%的ctfmon.exe,并使用taskjob执行的ctfmon.exe

3、连接到C2并在%programdata%文件夹下载文件deko.png,并将其命名为ctfmon.config,以便让ctfmon.exe进行加载

开头文章也提到了,这个C2域名就是海莲花组织的域名

https://open.betaoffice.net/deko.png

上面作为一个完整的海莲花组织利用钓鱼过程就此结束,下面看看站点右上角的下载CV DOC的地方。

上面对应的URL链接为:

https://mycv[.]vip/downloads/CV-198756-DBEGWQ.doc

按一开始的步骤解出VBA ,与链接中提及的手法一致,可参考。

(https://tradahacking.vn/ph%C3%A2n-t%C3%ADch-nhanh-m%E1%BB%99t-sample-c20da639e768)

手法一致

下面为opendir目录,可以看出其中的doc和注册表脚本都是一个套路。

.reg文件  类似于上面的updateChrome.reg文件,它可能对应于用户使用的浏览器。

Windows 文件夹包含3个与Chome,IE和Fonts对应的文件集

Mac 目录文件夹包含3个文件,Firefox,谷歌浏览器和字体安装:

通过查看mycv.vip的源代码,可以发现javascript代码

然后攻击者会通过下面这个脚本来定位不同的平台

https://mycv.vip/scripts/scripts.js

浏览器:Chrome,Firefox,IE,Edge,Opera

手机有Ipad,Iphone,Android

操作系统有Windows,MacOS

刚刚上文提到的vtv-news.net也是和mycv.vip一个原理

直接可以下载源码vtv-news.zip

目录结构基本一致

还有第三部分,出来了再接着补充,先发出来大伙看看。

知识星球内部如下,如需实时获取情报,欢迎加入,点击本条链接即可


参考链接:

https://medium.com/@sp1d3rm4n/apt32-oceanlotus-một-chiến-dịch-apt-bài-bản-như-thế-nào-phần-1-9975574e905

https://medium.com/@sp1d3rm4n/apt32-oceanlotus-m%E1%BB%99t-chi%E1%BA%BFn-d%E1%BB%8Bch-apt-b%C3%A0i-b%E1%BA%A3n-nh%C6%B0-th%E1%BA%BF-n%C3%A0o-ph%E1%BA%A7n-2-119a24585d9a


你点的每个赞,我都认真当成了喜欢

本文源自微信公众号:黑鸟

人已赞赏
安全工具

利用Linux “脏牛”漏洞的恶意安卓程序:ZNIU,来源竟是国内黑产团队

2019-10-16 10:34:08

安全工具

威胁预测与情报:APT28→中亚,中欧,东欧&Gamaredon→乌克兰

2019-10-16 10:34:13

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索