境外駭客組織“海蓮花(OceanLotus)”是一個長期針對中國及其他東亞、東南亞國家(地區)政府、科研機構、海運企業等重要領域進行攻擊的APT組織。 繼2015年首次被曝光以來, 海蓮花(OceanLotus)一直小動作不斷, 近日, 騰訊禦見威脅情報中心捕獲到了該組織的最新攻擊樣本。
本次攻擊事件中, 海蓮花(OceanLotus)組織使用了CVE-2017-11882漏洞並結合白簽名利用程式, 最大化地隱藏自己的後門木馬。 其後門木馬常駐受害使用者電腦中, 可根據雲控指令伺機竊取機密資訊或發起第二階段攻擊。 目前騰訊禦界高級威脅檢測系統已經可以檢測並阻斷該輪攻擊的連接行為。
(圖:騰訊禦界高級威脅檢測系統)
據悉, 海蓮花(OceanLotus)也叫APT32或APT-C-00, 主要攻擊目標包括中國在內的東亞、東南亞多個國家政府、科研機構和海運企業等。 其精心打造的攻擊體系, 對政府機關、要害企業網路資訊安全構成嚴重威脅, 攻擊者可刺探國家機密、企業業務資料, 並可執行破壞性行動。
海蓮花(OceanLotus)組織攻擊手段隱蔽, 擅長利用多種安全性漏洞進行攻擊嘗試。 本次攻擊中該組織使用了CVE-2017-11882漏洞文檔, 其文檔的檔案名為《Document_GPI Invitation-UNSOOC China.doc》, 內容為一張模糊的圖片。 許多用戶在打開誘餌文檔看到模糊化的圖片時,
(圖:誘餌文檔)
騰訊企業安全技術專家指出, 海蓮花(OceanLotus)組織本次攻擊行為使用了典型的白加黑利用技術, 通過帶有效簽名的可執行exe檔運行後自動載入木馬檔,
騰訊禦界高級威脅檢測系統, 是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料,
騰訊企業安全技術專家提醒廣大政府、企業用戶, 切勿隨意打開來歷不明的文檔, 同時安裝安全軟體加強防禦, 通過部署禦界高級威脅檢測系統, 可及時感知惡意流量, 檢測釣魚網址和遠控伺服器位址在企業網路中的訪問情況, 有效保護企業及政府機構的網路資訊安全。