疑似海莲花新活动，攻击目标似为国内大型企业

背景

近期威胁情报中心猎影实验室在文件威胁分析平台上监控发现疑似海莲花组织又有新的活动出现，其攻击目标似为国内大型企业。

海莲花（OceanLotus）是高度组织化的、专业化的境外国家级黑客组织。其活动迹象最早可追溯到到2012年。攻击目标包括中国及及其他东亚国家(地区)政府、海事机构、海域建设部门、科研院所和航运企业等。很明显海莲花组织是一个有国外政府支持的APT(高级持续性威胁)组织。

分析

本次捕获到的样本名称为“定-关于报送2019年度经营业绩考核目标建议材料的报告.doc”，这是一个包含恶意宏代码的诱饵文档。打开文档内容如下：

执行宏代码，

通过regsvr32.exe 注册调用~$doc-ad9b812a-88b2-454c-989f-7bb5fe98717e.ole程序，该程序为dll文件，

注册函数会跳转到DllUnregisterServer_0函数进行执行，

其会再次通过regsvr32.exe调用自身，

然后在新进程中释放伪装文档：

并解密出最终的payload进行执行。最终的payload为复杂木马。

回连域名包括：

jcdn.jsoid[.]com

news.shangrilaexports[.]com

clip.shangweidesign[.]com

关联

文档模板在海莲花历史攻击样本中出现过类似的，如“2018年公司总结报告补充建议.doc”（md5: 115f3cb5bdfb2ffe5168ecb36b9aed54）。

使用regsvr32.exe调用DllRegisterServer，在样本

“THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE”

（md5:2aa2d2cc63122b498c82f76244646199）等中出现过

最终的复杂木马也是海莲花使用的远控载荷之一，如“WinWord.exe”SFX样本

（md5:d87e12458839514f1425243075cfc078）。

可见该次活动似与海莲花关联。

域名分析

可以通过域名看出一些相关对标内容。

jcdn.jsoid[.]com 疑似某科技公司

news.shangrilaexports[.]com 字面意思为香格里拉出口

clip.shangweidesign[.]com 某设计公司

IOC

md5

3c3b2cc9ff5d7030fb01496510ac75f2

8e2b5b95980cf52e99acfa95f5e1570b

domain

jcdn.jsoid[.]com

news.shangrilaexports[.]com

clip.shangweidesign[.]com

IP

77.245.76[.]66

5.104.110[.]170

94.177.123[.]137