2025年5月:OceanLotus组织针对中国的攻击事件分析报告

概述

  瑞星威胁情报平台近期发现针对国内用户的定向攻击活动,目标主要涉及政府及教育机构等关键领域。攻击者利用MSI TRANSFORMS技术的新手法,通过在MST文件中植入恶意载荷,操控MSI安装程序的执行流程,在安装过程中加载并运行恶意代码。为提升隐蔽性,攻击者采用多阶段加载机制,通过释放和执行内嵌shellcode的恶意代码,在内存中运行木马,实现对目标主机的信息窃取和远程控制。溯源分析显示,该攻击活动与OceanLotus组织高度相关,表明其攻击能力显著增强,因此需高度关注并加强防护。

  OceanLotus海莲花)又名APT32SeaLotus, 是一个具有东南亚国家背景的APT组织,其攻击活动最早可追溯到2012年。自2015年首次披露以来,该组织持续活跃至今,后续针对中国境内的攻击活动扩展到几乎所有重要机构,包括政府部门、科研院所、境内高校和金融投资机构等。

2023年11月:海莲花组织模仿APT29攻击行动分析报告

概述

  2023年11月,海莲花组织针对国内目标群体,以购买BMW汽车为主题,诱导目标打开一个含有恶意脚本代码的快捷方式,本次行动攻击方式与今年初APT29所使用的攻击手法较为相似,因而疑似是刻意模仿,该快捷方式伪装名称BMW_2023年机构及院士销售价格框架.pdf.lnk,一旦启动,将在本机释放恶意的可执行文件,注册自启动,并在最终执行一个CobaltStrike Beacon来建立持久的连接。

2023年2月:海莲花组织-伪装成Google Installer样本分析

概述

  瑞星威胁情报中心捕获到一个名为Google Installer恶意程序样本,经分析确定该样本出自OceanLotus组织,该组织常用的攻击方法是白加黑,但此次换了另外一种攻击手法是伪装成为正常的安装软件,通过网络钓鱼的方式,诱导用户下载安装程序来执行恶意的操作。