海蓮花在近期的攻擊中使用了新的后門
責編:mhshi |2018-03-16 10:59:05安全公司 ESET 發布分析報告稱 OceanLotus APT 組織(“ 海蓮花 ”,也被稱為 APT32 和 APT- c -00) 在其最近的攻擊活動中使用了新的后門,旨在獲得遠程訪問以及對受感染系統的完全控制權。
目前來看,OceanLotus 的攻擊分兩個階段進行,第一階段黑客利用一個通過魚叉式釣魚信息傳遞的 dropper 來獲得目標系統的初始據點,第二個階段是其惡意代碼為部署后門做好準備。
dropper 部分有以上執行流程
后門有以上執行流程
目前 OceanLotus 會在其攻擊活動中不斷更新工具集,這顯示了該組織通過選擇目標保持隱藏的意圖。此外,OceanLotus 也限制其惡意軟件的分發以及使用多個不同的服務器來避免將注意力吸引到單個域名或 IP 地址。
關于海蓮花
OceanLotus 組織自 2013 年起至今一直保持活躍狀態,據有關專家介紹,該組織是一個與越南有關的國家資助的黑客組織,其中大部分分布在越南、菲律賓、老撾和柬埔寨。根據調查,OceanLotus 除了針對多個行業的組織之外,也針對外國政府、持不同政見人士和記者。
ESET 分析報告:https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf
原文:http://securityaffairs.co/wordpress/70253/apt/oceanlotus-apt-backdoor.html