Posted in威胁分析
2025年5月:OceanLotus组织针对中国的攻击事件分析报告
概述
瑞星威胁情报平台近期发现针对国内用户的定向攻击活动,目标主要涉及政府及教育机构等关键领域。攻击者利用MSI TRANSFORMS
技术的新手法,通过在MST
文件中植入恶意载荷,操控MSI
安装程序的执行流程,在安装过程中加载并运行恶意代码。为提升隐蔽性,攻击者采用多阶段加载机制,通过释放和执行内嵌shellcode
的恶意代码,在内存中运行木马,实现对目标主机的信息窃取和远程控制。溯源分析显示,该攻击活动与OceanLotus
组织高度相关,表明其攻击能力显著增强,因此需高度关注并加强防护。
OceanLotus
(海莲花
)又名APT32
、SeaLotus
, 是一个具有东南亚国家背景的APT
组织,其攻击活动最早可追溯到2012
年。自2015
年首次披露以来,该组织持续活跃至今,后续针对中国境内的攻击活动扩展到几乎所有重要机构,包括政府部门、科研院所、境内高校和金融投资机构等。