APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

APT 1个月前 admin
192 0 0

今年6月,Elastic安全研究人员揭露了一种新的野外代码执行技术,该技术利用了精心设计的MSC文件,称为GrimResource。

GrimResource技术的关键是利用apds.dll库中存在的 XSS 漏洞。攻击者通过在精心设计的 MSC 文件中的 StringTable 标签中添加对 APDS 资源的引用,可以在 Microsoft管理控制台(mmc.exe上下文中执行任意 JavaScript代码;此技术与DotNetToJScript结合使用,以实现任意代码执行。

reference

  • https://www.elastic.co/security-labs/grimresource

  • https://github.com/ZERODETECTION/MSC_Dropper


1.组织概述

OceanLotus(海莲花、APT32、APT-Q-31)是一个长期针对中国及周边东南亚国家(地区)发起APT攻击的东南亚黑客组织,由于其多年来对我国党政机关、国防军工、科研院所等核心要害单位发起攻击,近两年攻击范围甚至延伸到了关键信息基础设施、能源、医疗、军民融合等各个领域。此后至今,海莲花依旧针对以中国和越南周边国家为主的东亚及东南亚多国,及国内反对派人士,采取鱼叉攻击手段,发动以信息窃取为主的攻击活动。

下半年,猎捕发现海莲花组织使用GrimResource技术进行钓鱼攻击,MSC文件释放恶意文件,实施定向窃密攻击。

2.组织TTPs

初始访问

使用钓鱼邮件获得初始入口点,攻击者发送“xxx”为主题的钓鱼邮件,诱使受害者点击钓鱼链接下载压缩包,内含使用GrimResource技术的msc钓鱼文件

检测规避

使用GrimResource术的msc文件释放一个exe与一个dll文件,利用白加黑方式加载CobaltSrike Beacon实现检测规避目的

持久化

创建计划任务和服务实现持久化,并下载后阶段样本。

数据窃取

下载多个远控木马,对目标进行深度控制,窃取重要数据。

2.1 猎捕策略

以下目录是否存在可疑文件

C:Program FilesCloudflare

是否存在可疑计划任务或服务

Warp

是否存在外连可疑进程

mmc.exeWarp.exe

3.样本分析

3.1 msc钓鱼文档

文件名

功能

md5

IoC

《国际论坛》外审专家邀请函与文章评审单.msc

钓鱼邮件msc文档

7445a07afe6d8f21f93308d73cdd7939

sz-everstar[.]com

    点击钓鱼文档后释放正常文档。

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

该文件实际为xml格式文件,StringTables标签存在可疑的JavaScript代码:

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

解码后发现被混淆的JavaScript代码:

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析JavaScript代码主要是读取msc其他标签的数据,解密后释放一个正常文档,在C:Program FilesCloudflare目录下释放Warp.exe和7z.dll文件。

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

Warp.exe为正常的解压缩程序,加载7z.dll实现正常功能。

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

后续利用Dll劫持执行恶意7z.dll并创建Warp恶意服务实现持久化。

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

7z.dll内存中解密执行ShellCode,外连sz-everstart[.]com。

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

ShellCode为CobaltStrike Beacon。

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

3.2 MSBuild文件

文件名

功能

md5

IoC

slxn9sb9.dmp

钓鱼邮件msc文档

27c294fce8688de31baa6f0b10ea6cec

xpmediaweb[.]net

slxn9sb9.dmp文件为C#代码,通过MSBuild编译后执行

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

编译后主要功能为解密加载shellcode,shellcode用3DES加密,密钥为55AF-7C3B-46FDBC。

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

执行ShellCode,外连地址xpmediaweb[.]net。

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

ShellCode为Cobalt Strike Beacon

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

4.IoC

  • 27c294fce8688de31baa6f0b10ea6cec

  • 7445a07afe6d8f21f93308d73cdd7939

  • 7a79ab30b38601d2797a04be6194fdc4

  • 597fd2daf8db08e4be40caff97223e26

  • 80b5bddf4c7e027832fa20b6490ca026

  • sz-everstar[.]com

  • xpmediaweb[.]net

原文始发于微信公众号(TahirSec):APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

版权声明:admin 发表于 2024年9月30日 下午6:31。
转载请注明:APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析 | CTF导航

相关文章