{ "id": "de64af2f-262f-4286-9ef0-eac6795663a3", "created_at": "2026-04-06T00:12:29.737901Z", "updated_at": "2026-04-10T03:37:19.26346Z", "deleted_at": null, "sha1_hash": "d1bb4ab4a3ea1dc2463487f593ebe2f7ed6e1704", "title": "Another malicious document with CVE-2017–11882", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 3124733, "plain_text": "Another malicious document with CVE-2017–11882\r\nBy m4n0w4r\r\nPublished: 2019-01-03 · Archived: 2026-04-05 15:35:16 UTC\r\nPress enter or click to view image in full size\r\nOverview\r\nNhờ người em hỗ trợ, tôi có được một sample mới\r\nc580d77722d85238ed76689a17b0205b4d980c010bef9616b8611ffba21b142e sử dụng CVE-2017–11882. Sample\r\nnày có thay đổi chút về OLE object, init_key để decrypt binary, cũng như các dropped binary so với mẫu tôi đã\r\nviết tại đây https://tradahacking.vn/l%C3%A0-1937cn-hay-oceanlotus-hay-lazarus-6ca15fe1b241\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 1 of 11\n\n1. Stage 1 — Phân tích sơ bộ\r\nKiểm tra thấy đây là một file RTF:\r\nSử dụng rtfobj để xem có các embedded objects không, thấy có 4 objects:\r\nThông qua Profiler, có được thông tin sau:\r\nCVE-2017–11882 Signature\r\nEmbedded file\r\nMở file bằng ứng dụng Word không thấy có nội dung gì (theo đánh giá cá nhân, tụi này làm mẫu không bằng các\r\nmẫu nhắm vào VN, không viết nổi một nội dung cho tử tế :D). Nó sẽ drop file e.m vào thư mục Temp . File này sẽ\r\ncó nội dung như trên hình:\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 2 of 11\n\n2. Stage 2 — Lấy binary được giải mã\r\nVới sample này, tôi không áp dụng được dụng tính năng Image File Execution Options (IFEO) nên tôi dùng\r\nHxD để patch Entry Point của EQNEDT32.exe thành 0xEB 0xEF.\r\nSau đó mở file bằng ứng dụng Word, dùng OllyDBG tiến hành attach tiến trình EQNEDT32.exe. Sau khi attach\r\nxong khôi phục lại các bytes gốc đã patch bằng HxD. Đặt một bp tại CreatFileW:\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 3 of 11\n\nThông qua shellcode gọi hàm VirtualAlloc để cấp phát vùng nhớ phục vụ cho việc lưu nội dung của file e.m:\r\nTiếp theo gọi hàm ReadFile để đọc nội dung từ e.m và lưu vào vùng nhớ ở trên:\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 4 of 11\n\nDùng vòng lặp xor để giải mã dữ liệu tại vùng nhớ trên (thuật toán tương tự như bài viết\r\nhttps://tradahacking.vn/l%C3%A0-1937cn-hay-oceanlotus-hay-lazarus-6ca15fe1b241, chỉ khác init_key):\r\nSau vòng lặp trên có được một PE file mới như sau:\r\nDump vùng nhớ này ra đĩa để phân tích:\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 5 of 11\n\n3. Stage 3 — Phân tích binary đã dump\r\nLoad binary ở trên vào IDA, nó thực hiện tạo thư mục có tên IISWebClient tại %appdata%:\r\nThực hiện giải mã một buffer:\r\nPress enter or click to view image in full size\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 6 of 11\n\nSau đó copy toàn bộ các bytes đã giải mã ở trên vào vùng nhớ đã được cấp phát:\r\nTạo một key là “Direct3D” tại HKEY_CURRENT_USER\\Software \u0026 lưu toàn bộ decrypted bytes:\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 7 of 11\n\nTiếp theo, drop 3 files vào thư mục IISWebClient đã tạo ở trên:\r\nGet m4n0w4r’s stories in your inbox\r\nJoin Medium for free to get updates from this writer.\r\nRemember me for faster sign in\r\n· iassvcs.exe (signed by Symantec).\r\n· sqlite3.dll (signed by Qihoo 360).\r\n· RasTls.dll (signed by Avira — not valid cert).\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 8 of 11\n\nThông tin Digital Signatures của các files:\r\nTạo persistence key để tự động chạy tại “Software\\Microsoft\\windows NT\\CurrentVersion\\windows”:\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 9 of 11\n\nSau khi tạo key trong Registry xong, thực thi file iassvcs.exe, file này sẽ load các đã drop cùng thư mục:\r\nBinary cuối cùng được lưu thành file 189AFE4.TMP:\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 10 of 11\n\nTiến trình iassvcs.exe sau khi thực thi sẽ kết nối tới C2 tại:\r\n4. IOCs\r\n· Malicious RTF: c580d77722d85238ed76689a17b0205b4d980c010bef9616b8611ffba21b142e\r\n· Decrypted binary: 8D7425AE30FD2D5196EC4DCD2540B31A0D26772F\r\n· Dropped binary:\r\no %appdata%\\IISWebClient\\iassvcs.exe: 62944E26B36B1DCACE429AE26BA66164\r\no %appdata%\\IISWebClient\\sqlite3.dll: FEE0B982AF421FF8C16C0187B376B086\r\no %appdata%\\IISWebClient\\RasTls.dll: C6A73E29C770065B4911EF46285D6557\r\n· C2:\r\no Name: skylineqaz[.]crabdance[.]com\r\no Name: xn — ylineqaz-y25ja[.]crabdance[.]com\r\n· Registry:\r\no “HKCU\\Software\\Microsoft\\windows NT\\CurrentVersion\\windows”; Value name “Load”; Data: C:\\Users\\\r\n{username}\\AppData\\Roaming\\IISWEB~1\\iassvcs.exe\r\no “HKEY_CURRENT_USER\\Software\\Direct3D”\r\nSource: https://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nhttps://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f\r\nPage 11 of 11", "extraction_quality": 1, "language": "VI", "sources": [ "Malpedia" ], "references": [ "https://tradahacking.vn/another-malicious-document-with-cve-2017-11882-839e9c0bbf2f" ], "report_names": [ "another-malicious-document-with-cve-2017-11882-839e9c0bbf2f" ], "threat_actors": [ { "id": "af509bbb-8d18-4903-a9bd-9e94099c6b30", "created_at": "2023-01-06T13:46:38.585525Z", "updated_at": "2026-04-10T02:00:03.030833Z", "deleted_at": null, "main_name": "APT32", "aliases": [ "OceanLotus", "ATK17", "G0050", "APT-C-00", "APT-32", "Canvas Cyclone", "SeaLotus", "Ocean Buffalo", "OceanLotus Group", "Cobalt Kitty", "Sea Lotus", "APT 32", "POND LOACH", "TIN WOODLAWN", "Ocean Lotus" ], "source_name": "MISPGALAXY:APT32", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "f21d7691-a720-46bb-81d7-11edb9f73eba", "created_at": "2023-11-08T02:00:07.126478Z", "updated_at": "2026-04-10T02:00:03.420826Z", "deleted_at": null, "main_name": "1937CN", "aliases": [], "source_name": "MISPGALAXY:1937CN", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "870f6f62-84f5-48ca-a18e-cf2902cd6924", "created_at": "2022-10-25T15:50:23.303818Z", "updated_at": "2026-04-10T02:00:05.301184Z", "deleted_at": null, "main_name": "APT32", "aliases": [ "APT32", "SeaLotus", "OceanLotus", "APT-C-00", "Canvas Cyclone" ], "source_name": "MITRE:APT32", "tools": [ "Mimikatz", "ipconfig", "Kerrdown", "Cobalt Strike", "SOUNDBITE", "OSX_OCEANLOTUS.D", "KOMPROGO", "netsh", "RotaJakiro", "PHOREAL", "Arp", "Denis", "Goopy" ], "source_id": "MITRE", "reports": null }, { "id": "5da6b5fd-1955-412a-81aa-069fb50b6e31", "created_at": "2025-08-07T02:03:25.116085Z", "updated_at": "2026-04-10T02:00:03.668978Z", "deleted_at": null, "main_name": "TIN WOODLAWN", "aliases": [ "APT32 ", "Cobalt Kitty", "OceanLotus", "WOODLAWN " ], "source_name": "Secureworks:TIN WOODLAWN", "tools": [ "Cobalt Strike", "Denis", "Goopy", "JEShell", "KerrDown", "Mimikatz", "Ratsnif", "Remy", "Rizzo", "RolandRAT" ], "source_id": "Secureworks", "reports": null }, { "id": "2439ad53-39cc-4fff-8fdf-4028d65803c0", "created_at": "2022-10-25T16:07:23.353204Z", "updated_at": "2026-04-10T02:00:04.55407Z", "deleted_at": null, "main_name": "APT 32", "aliases": [ "APT 32", "APT-C-00", "APT-LY-100", "ATK 17", "G0050", "Lotus Bane", "Ocean Buffalo", "OceanLotus", "Operation Cobalt Kitty", "Operation PhantomLance", "Pond Loach", "SeaLotus", "SectorF01", "Tin Woodlawn" ], "source_name": "ETDA:APT 32", "tools": [ "Agentemis", "Android.Backdoor.736.origin", "AtNow", "Backdoor.MacOS.OCEANLOTUS.F", "BadCake", "CACTUSTORCH", "CamCapture Plugin", "CinaRAT", "Cobalt Strike", "CobaltStrike", "Cuegoe", "DKMC", "Denis", "Goopy", "HiddenLotus", "KOMPROGO", "KerrDown", "METALJACK", "MSFvenom", "Mimikatz", "Nishang", "OSX_OCEANLOTUS.D", "OceanLotus", "PHOREAL", "PWNDROID1", "PhantomLance", "PowerSploit", "Quasar RAT", "QuasarRAT", "RatSnif", "Remy", "Remy RAT", "Rizzo", "Roland", "Roland RAT", "SOUNDBITE", "Salgorea", "Splinter RAT", "Terracotta VPN", "Yggdrasil", "cobeacon", "denesRAT", "fingerprintjs2" ], "source_id": "ETDA", "reports": null }, { "id": "2c7ecb0e-337c-478f-95d4-7dbe9ba44c39", "created_at": "2022-10-25T16:07:23.690871Z", "updated_at": "2026-04-10T02:00:04.709966Z", "deleted_at": null, "main_name": "Goblin Panda", "aliases": [ "1937CN", "Conimes", "Cycldek", "Goblin Panda" ], "source_name": "ETDA:Goblin Panda", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "Agent.dhwf", "BackDoor-FBZT!52D84425CDF2", "BlueCore", "BrowsingHistoryView", "ChromePass", "CoreLoader", "Custom HDoor", "Destroy RAT", "DestroyRAT", "DropPhone", "FoundCore", "HDoor", "HTTPTunnel", "JsonCookies", "Kaba", "Korplug", "LOLBAS", "LOLBins", "Living off the Land", "NBTscan", "NewCore RAT", "PlugX", "ProcDump", "PsExec", "QCRat", "RainyDay", "RedCore", "RedDelta", "RoyalRoad", "Sisfader", "Sisfader RAT", "Sogu", "TIGERPLUG", "TVT", "Thoper", "Trojan.Win32.Staser.ytq", "USBCulprit", "Win32/Zegost.BW", "Xamtrav", "ZeGhost", "nbtscan" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434349, "ts_updated_at": 1775792239, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/d1bb4ab4a3ea1dc2463487f593ebe2f7ed6e1704.pdf", "text": "https://archive.orkl.eu/d1bb4ab4a3ea1dc2463487f593ebe2f7ed6e1704.txt", "img": "https://archive.orkl.eu/d1bb4ab4a3ea1dc2463487f593ebe2f7ed6e1704.jpg" } }