APT組織「海蓮花」再度活躍 利用後門木馬瞄準東亞國家

境外黑客組織「海蓮花（OceanLotus）」是一個長期針對中國及其他東亞、東南亞國家（地區）政府、科研機構、海運企業等重要領域進行攻擊的APT組織。繼2015年首次被曝光以來，海蓮花（OceanLotus）一直小動作不斷，近日，騰訊御見威脅情報中心捕獲到了該組織的最新攻擊樣本。

本次攻擊事件中，海蓮花（OceanLotus）組織使用了CVE-2017-11882漏洞並結合白簽名利用程序，最大化地隱藏自己的後門木馬。其後門木馬常駐受害用戶電腦中，可根據云控指令伺機竊取機密信息或發起第二階段攻擊。目前騰訊御界高級威脅檢測系統已經可以檢測並阻斷該輪攻擊的連接行為。

（圖：騰訊御界高級威脅檢測系統）

據悉，海蓮花（OceanLotus）也叫APT32或APT-C-00，主要攻擊目標包括中國在內的東亞、東南亞多個國家政府、科研機構和海運企業等。其精心打造的攻擊體系，對政府機關、要害企業網路信息安全構成嚴重威脅，攻擊者可刺探國家機密、企業業務數據，並可執行破壞性行動。

海蓮花（OceanLotus）組織攻擊手段隱蔽，擅長利用多種安全漏洞進行攻擊嘗試。本次攻擊中該組織使用了CVE-2017-11882漏洞文檔，其文檔的文件名為《Document_GPI Invitation-UNSOOC China.doc》，內容為一張模糊的圖片。許多用戶在打開誘餌文檔看到模糊化的圖片時，會下意識地認為只是資源載入不全，需要點擊或等待，實際此時利用漏洞攻擊的惡意程序已經運行，並經過漏洞觸發自動載入木馬文件「rastls.dll」。

（圖：誘餌文檔）

騰訊企業安全技術專家指出，海蓮花（OceanLotus）組織本次攻擊行為使用了典型的白加黑利用技術，通過帶有效簽名的可執行exe文件運行後自動載入木馬文件，可見該組織在漏洞利用、白加黑利用技術、代碼混淆等方面都有著很深的技術積累，極大地增加了殺毒軟體的查殺難度。

騰訊御界高級威脅檢測系統，是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。憑藉基於行為的防護和智能模型兩大核心能力，御界高級威脅檢測系統可高效檢測未知威脅，並通過對企業內外網邊界處網路流量的分析，感知漏洞的利用和攻擊。

騰訊企業安全技術專家提醒廣大政府、企業用戶，切勿隨意打開來歷不明的文檔，同時安裝安全軟體加強防禦，通過部署御界高級威脅檢測系統，可及時感知惡意流量，檢測釣魚網址和遠控伺服器地址在企業網路中的訪問情況，有效保護企業及政府機構的網路信息安全。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！