概述

  瑞星威胁情报平台近期发现针对国内用户的定向攻击活动，目标主要涉及政府及教育机构等关键领域。攻击者利用MSI TRANSFORMS技术的新手法，通过在MST文件中植入恶意载荷，操控MSI安装程序的执行流程，在安装过程中加载并运行恶意代码。为提升隐蔽性，攻击者采用多阶段加载机制，通过释放和执行内嵌shellcode的恶意代码，在内存中运行木马，实现对目标主机的信息窃取和远程控制。溯源分析显示，该攻击活动与OceanLotus组织高度相关，表明其攻击能力显著增强，因此需高度关注并加强防护。

  OceanLotus（海莲花）又名APT32、SeaLotus， 是一个具有东南亚国家背景的APT组织，其攻击活动最早可追溯到2012年。自2015年首次披露以来，该组织持续活跃至今，后续针对中国境内的攻击活动扩展到几乎所有重要机构，包括政府部门、科研院所、境内高校和金融投资机构等。