海莲花,又名OceanLotus、APT32,奇安信内部跟踪编号APT-Q-31,是由奇安信威胁情报中心最早披露并命名的一个APT组织。自2012年4月起,海莲花针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。海莲花组织的攻击目标包括中国和东南亚地区多国,覆盖政府机...
央广网北京5月31日消息(记者焦莹)据中国之声《新闻纵横》报道,中国网络安全公司360近日发布报告,首次披露了一个叫做“海莲花”的境外黑客组织,该组织近三年来对中国政府的海事机构、科研院所展开了国家级网络攻击,报告认为这是有外国政府支持的国家级黑客行动。 报告指出,自2012年4月起,“海莲花”持续使用木马病毒攻陷...
为了隐蔽行踪,海莲花组织还先后在至少6个国家注册了服务器域名35个,相关服务器IP地址19个,分布在全球13个以上的不同国家。 大数据技术揭开“海莲花”面纱 “天眼实验室”向记者介绍,事实上,“海莲花”的攻击早已被他们捕捉到,但之前只是零散的发现,直到去年起,360成立“天眼”实验室,在国内首先利用大数据技术进行未知...
从样本分析,我们可以发现本次捕获样本与2023年该组织利用BMW话题为诱饵发起的攻击活动在多方面一致,因此认为本次捕获的样本与2023年海莲花组织利用BMW诱饵的攻击样本应当属于同一组织。
OceanLotus(海莲花)是以中国为主要攻击目标的APT组织。在东南亚地区最为活跃。 OceanLotus(海莲花)由奇安信红雨滴团队(前身为天眼实验室)最早披露并命名,奇安信内部跟踪编号为APT-Q-31。 背景 OceanLotus(海莲花)又名APT32、SeaLotus等称号,是一个据称有东南亚背景的APT组织,其攻击活动最早可追溯到2012年4月。在首次披露...
海莲花APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织。 该APT组织主要通过鱼叉攻击和水坑攻击等攻击方法,再配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。
最新海莲花组织攻击事件分析 海莲花(OceanLotus、APT32)是一个具有越南背景的黑客组织。该组织最早被发现于 2012 年 4月攻击中国海事机构、海域建设部门、科研院所和航运企业。主要使用鱼叉和水坑攻击方式,配合社工手段,利用特种木马进行符合越南国家利益的针对性窃密活动。
因此我们将本次攻击,定性为:海莲花组织攻击越南某环保组织负责人。 样本分析 海莲花本次的样本执行流程大致为: 1.hta样本解密并加载后续的附加数据; 2.释放adobe reader的白利用文件,加载后会连接C2通信。 载荷分析 hta脚本进行过混淆处理,处理方式会把字符串中的“,”,“.”,“ ”分别替换成“+”,“/”,“=...
分析的木马,是海莲花组织的主要攻击载荷之一。 本次分析人员捕获到的Denes木马变种,较以往披露版本进行了部分迭代优化,除了海莲花组织惯用的“白加黑”技术外,还利用DNS隐蔽信道传输加密数 据,进一步逃避安全设备检测。 Denes木马变种分析 1“白加黑”技术 对样本文件进行行为监测,发现其在运行之后释放了三个文件,其中一个...