“海莲花”(OceanLotus)2019年针对中国攻击活动汇总
来源:岁月联盟
时间:2020-01-29
获取hash:
打包文件:
此外,还会还会通过powershell,创建计划任务来下载持久化的工具:
最终的恶意文件为goopdate.dll,跟上文所述的第二阶段下发后门一致。
三、 可能存在的假旗活动
在跟踪海莲花的过程中,我们还发现了一些跟海莲花活动类似的攻击:
如:
可以看出该批活动跟海莲花的类似:如关键字、使用白加黑等。
而该文件最终的执行的恶意代码为两种:
一种是CobaltStrike生成的Beacon payload;
另一种是metasploit生成的block_reverse_http的paylaod。
虽然CobaltStrike的Beacon木马海莲花组织一直在进行使用,但是之前未发现有metasploit生成的payload,这似乎跟之前的海莲花攻击活动又有些不一致。
此外该批活动的c2都在中国境内(包括中国香港),这似乎跟之前的攻击活动也不大一样:
虽然这波活动在极力模仿海莲花的一些攻击行为,但是也依然存在不同的地方。因此暂未有更多的证据可以表明该活动归属于海莲花还是其他组织使用的假旗(false flag)活动。因此在这先不做定论,等待更多的证据和关联的依据。
四、 总结
海莲花组织是近年来针对中国大陆的敏感部门进行攻击最活跃的APT组织,甚至没有之一。当然该组织也是被安全公司曝光的针对中国大陆攻击活动报告最多的APT攻击组织。尽管被安全厂商频繁曝光,该组织并未有停手迹象,反而不断更新其技术和武器库,包括诱饵、payload、新的漏洞利用等,此外也有众多跟杀软的对抗手段,如自增文件大小、混淆方式、定制化的payload等。
因此我们提醒相关部门和相关人员,切记提高安全意识,不要随意执行来历不明的邮件的附件,不要被钓鱼信息所蒙蔽。
五、 安全建议
1、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码;
2、 及时安装操作系统补丁和Office等重要软件的补丁;
3、 使用杀毒软件防御可能得病毒木马攻击。
六、 附录
IOCs
MD5:
e7920ac10815428de937f2fca076b94c
4095b9682af13ca1e897ca9cc097ec69
b96de3d0023542f8624b82b9773373e9
5c5f8c80dcb3283afeb092cb0c13a58a
c90c7abcee1d98a8663904d739185d16
d249411f003d05c0cea012c11ba13716
3489140891e67807c550aa91c67dc4ad
22f8736bbc96c1a58ab07326d730a235
dade969b00cbc4a0c1b58eeb0e740b63
3c3b2cc9ff5d7030fb01496510ac75f2
d604c33d6ec99a87a672b3202cb60fa7
861fc5624fd1920e9d9cc7a236817dd7
8e2b5b95980cf52e99acfa95f5e1570b
3c8b2d20e428f8207b4324bb58f5d228
a81424e973b310edd50aed37590f4b8a
cf5d6d28c388edf58e55412983cf804a
6b8bec74620fbf88263b48c5a11b682e
9eb55481a0b5fcd255c8fb8de1042f88
5c00063b11c4710fe5a5a1adaf208b12
d30bc57624d233d94dc53a62908ef2df
886d0dd67e4cf132a1aed84263d661e3
上一页 [1] [2] [3] [4] [5] 下一页
