【APT報告】海蓮花團伙的活動新趨勢

前言

前天友商發布了一個關於海蓮花APT團伙的新活動報告，揭露了一些新發現的樣本和基礎設施，本文提供一些360威脅情報中心視野內的信息來構成更大的拼圖。

歷史

自從2015年5月360威脅情報中心首次發布揭露海蓮花APT團伙報告以來，我們一直持續關注著此團伙的活動，團伙只是在報告發布以後沉寂過一小段時間，此後從來就沒停止過活動，力度甚至超過以往。2016年6月，360威脅情報中心發布過又一篇跟蹤分析：《海蓮花重出水面》，介紹了結合終端和網路數據所監測到的更全面的攻擊活動細節，詳情可以參看鏈接：

https://ti.360.net/blog/articles/resurface-of-oceanlotus/

攻擊活動可以簡要以如下圖來歸納：

當時活動相關的TTP描述如下：

現狀

2017年7月360威脅情報中心截獲並分析了多個海蓮花團伙的新樣本及對應的通信基礎設施，相關的信息在威脅情報中心的數據平台上可以看到並且已經推送到天眼未知威脅檢測系統及NGSOC的新版本中，用戶如果查詢到相關的IOC元素則可以立即看到平台輸出的標籤信息。

威脅情報中心發現的相關多個樣本和IP/域名等基礎設施：

網路層的IOC方面主要涉及如下幾個在2017年4月3日集中註冊的域名（同天註冊似乎是海蓮花團伙的操作慣例，甚至可以作為識別團伙的特徵之一）。

域名為：

engine.lanaurmi.com nmovies.onaldest.com nimages.andychroeder.com npng.eirahrlichmann.comn

基於樣本及其他數據源的得到的其他類型IOC見IOC節，相關的技術分析可能會輸出單獨的報告。

變化

基於對樣本及更多其他來源數據的整合分析和歷史活動的長期跟蹤，我們發現海蓮花團伙活動的一些變化，值得在此分享給安全社區：

1.攻擊所使用的木馬後門工具更複雜對抗更強。360威脅情報中心分析了若干個除Cobalt Strike組件以外的自研木馬代碼，發現其更加普遍地採用了白程序利用結合Shellcode的方式來繞過防病毒系統的檢測，為了對抗人工分析惡意代碼做了深度混淆。這個變化體現了團伙在技術能力上有了進一步地提升，使我們的分析工作需要更先進的工具，投入更多人力。

2.與去年相比，海蓮花團伙的攻擊活動面有所收窄，但攻擊目標的針對性加強，魚叉郵件的社工特性突出，體現對攻擊目標的深度了解。有用戶反饋到威脅情報中心的樣本使用了如下的附件名：

invitation letter-zhejiang ***** working group.docn

星號是非常具體的目標所在組織的簡稱，目標人物在浙江省，所以附件名里加了zhejiang字樣，暗示這是完全對目標定製的Payload。這與2016年採用的廣撒網式的策略完全不同，體現了攻擊目標的專註度。

3.攻擊所採用的網路基礎設施做了更徹底的隔離，使之更不容易做關聯溯源分析。基於以往活動的分析，360威脅情報中心了解團伙所使用的IP偏愛193.169.*.*網段，過往很多攻擊活動可以基於此非常容易地關聯起來。今年的新近樣本使用的網路基礎設施與既往的沒有重疊，非常」乾淨」。以往基於網路資源重疊的關聯分析不再有效，導致分析人員需要耗費大量的人力去啃對抗加強後的樣本以獲取關聯點，這些製造的麻煩雖然不至於使關聯工作最終擱淺，但確實大大增加了資源的消耗。

4.對之前已經攻擊過的目標會進行反覆攻擊，發送新版本的魚叉郵件嘗試再次獲取控制。我們處理用戶反饋的過程中發現對於海蓮花團伙所認定的高價值用戶，系統上的惡意代碼由於被揭露而清除以後，攻擊團伙還會嘗試用新Payload進行攻擊，對於之前已經控制的目標也會以新Payload轉換控制所用的網路基礎設施。

以上這些變化可以簡單總結為海蓮花團伙的技術水平在提升，與此同時攻擊更加專註也更注意隱藏自己。

IOC