概述

  瑞星威胁情报平台近期发现针对国内用户的定向攻击活动，目标主要涉及政府及教育机构等关键领域。攻击者利用MSI TRANSFORMS技术的新手法，通过在MST文件中植入恶意载荷，操控MSI安装程序的执行流程，在安装过程中加载并运行恶意代码。为提升隐蔽性，攻击者采用多阶段加载机制，通过释放和执行内嵌shellcode的恶意代码，在内存中运行木马，实现对目标主机的信息窃取和远程控制。溯源分析显示，该攻击活动与OceanLotus组织高度相关，表明其攻击能力显著增强，因此需高度关注并加强防护。

  OceanLotus（海莲花）又名APT32、SeaLotus， 是一个具有东南亚国家背景的APT组织，其攻击活动最早可追溯到2012年。自2015年首次披露以来，该组织持续活跃至今，后续针对中国境内的攻击活动扩展到几乎所有重要机构，包括政府部门、科研院所、境内高校和金融投资机构等。

概述

  2023年11月，海莲花组织针对国内目标群体，以购买BMW汽车为主题，诱导目标打开一个含有恶意脚本代码的快捷方式，本次行动攻击方式与今年初APT29所使用的攻击手法较为相似，因而疑似是刻意模仿，该快捷方式伪装名称BMW_2023年机构及院士销售价格框架.pdf.lnk，一旦启动，将在本机释放恶意的可执行文件，注册自启动，并在最终执行一个CobaltStrike Beacon来建立持久的连接。

概述

  瑞星威胁情报中心捕获到一个名为Google Installer恶意程序样本，经分析确定该样本出自OceanLotus组织，该组织常用的攻击方法是白加黑，但此次换了另外一种攻击手法是伪装成为正常的安装软件，通过网络钓鱼的方式，诱导用户下载安装程序来执行恶意的操作。