APT組織“海蓮花”再度活躍 利用後門木馬瞄準東亞國家
境外駭客組織“海蓮花(OceanLotus)”是一個長期針對中國及其他東亞、東南亞國家(地區)政府、科研機構、海運企業等重要領域進行攻擊的APT組織。繼2015年首次被曝光以來,海蓮花(OceanLotus)一直小動作不斷,
本次攻擊事件中,海蓮花(OceanLotus)組織使用了CVE-2017-11882漏洞並結合白簽名利用程式,最大化地隱藏自己的後門木馬。其後門木馬常駐受害使用者電腦中,可根據雲控指令伺機竊取機密資訊或發起第二階段攻擊。目前騰訊禦界高級威脅檢測系統已經可以檢測並阻斷該輪攻擊的連接行為。
(圖:騰訊禦界高級威脅檢測系統)
據悉,海蓮花(OceanLotus)也叫APT32或APT-C-00,主要攻擊目標包括中國在內的東亞、東南亞多個國家政府、科研機構和海運企業等。其精心打造的攻擊體系,對政府機關、要害企業網路資訊安全構成嚴重威脅,攻擊者可刺探國家機密、企業業務資料,並可執行破壞性行動。
海蓮花(OceanLotus)組織攻擊手段隱蔽,
(圖:誘餌文檔)
騰訊企業安全技術專家指出,海蓮花(OceanLotus)組織本次攻擊行為使用了典型的白加黑利用技術,通過帶有效簽名的可執行exe檔運行後自動載入木馬檔,可見該組織在漏洞利用、白加黑利用技術、代碼混淆等方面都有著很深的技術積累,極大地增加了殺毒軟體的查殺難度。
騰訊禦界高級威脅檢測系統,
騰訊企業安全技術專家提醒廣大政府、企業用戶,切勿隨意打開來歷不明的文檔,