2023年11月,海莲花组织针对国内目标群体,以购买BMW汽车为主题,诱导目标打开一个含有恶意脚本代码的快捷方式,本次行动攻击方式与今年初APT29所使用的攻击手法较为相似,因而疑似是刻意模仿,该快捷方式伪装名称BMW_2023年机构及院士销售价格框架.pdf.lnk,一旦启动,将在本机释放恶意的可执行文件,注册自启动,并在最终执行一个CobaltStrike Beacon来建立持久的连接。
瑞星威胁情报中心捕获到一个名为Google Installer恶意程序样本,经分析确定该样本出自OceanLotus组织,该组织常用的攻击方法是白加黑,但此次换了另外一种攻击手法是伪装成为正常的安装软件,通过网络钓鱼的方式,诱导用户下载安装程序来执行恶意的操作。
瑞星威胁情报中心捕获到一批恶意程序样本,经分析确定这些样本出自于MuddyWater组织常用的恶意软件:PowGoop,SmallSieve后门。PowGoop是一种恶意的DLL加载程序,其包括合法命名的DLL,包含加密的ShellCode的.dat文件,以及包含加密的PowerShell代码的config.txt三个组件;SmallSieve是一个由Python写的恶意后门程序。
瑞星威胁情报平台于2022年3月捕获到一起疑似针对军工领域相关从业人员的攻击事件。捕获到的样本伪装成知名企业洛克希德马丁公司的招聘文件,以工作机会为主题诱骗军工领域的相关用户。该文件内容被设置为乱码,以此欺骗用户通过启动文件的宏程序解码文件内容,从而释放出恶意程序。其行为具有高隐蔽性,难以被用户发现。根据详细分析,判定此次攻击活动是由Lazarus组织所为,同时通过关联分析,发现此次事件是该组织自2021年以来一系列攻击活动的延续。