APT组织“海莲花”再度活跃 利用后门木马瞄准东亚国家

境外黑客组织“海莲花（OceanLotus）”是一个长期针对中国及其他东亚、东南亚国家（地区）政府、科研机构、海运企业等重要领域进行攻击的APT组织。继2015年首次被曝光以来，海莲花（OceanLotus）一直小动作不断，近日，腾讯御见威胁情报中心捕获到了该组织的最新攻击样本。

本次攻击事件中，海莲花（OceanLotus）组织使用了CVE-2017-11882漏洞并结合白签名利用程序，最大化地隐藏自己的后门木马。其后门木马常驻受害用户电脑中，可根据云控指令伺机窃取机密信息或发起第二阶段攻击。目前腾讯御界高级威胁检测系统已经可以检测并阻断该轮攻击的连接行为。

（图：腾讯御界高级威胁检测系统）

据悉，海莲花（OceanLotus）也叫APT32或APT-C-00，主要攻击目标包括中国在内的东亚、东南亚多个国家政府、科研机构和海运企业等。其精心打造的攻击体系，对政府机关、要害企业网络信息安全构成严重威胁，攻击者可刺探国家机密、企业业务数据，并可执行破坏性行动。

海莲花（OceanLotus）组织攻击手段隐蔽，擅长利用多种安全漏洞进行攻击尝试。本次攻击中该组织使用了CVE-2017-11882漏洞文档，其文档的文件名为《Document_GPI Invitation-UNSOOC China.doc》，内容为一张模糊的图片。许多用户在打开诱饵文档看到模糊化的图片时，会下意识地认为只是资源加载不全，需要点击或等待，实际此时利用漏洞攻击的恶意程序已经运行，并经过漏洞触发自动加载木马文件“rastls.dll”。

（图：诱饵文档）

腾讯企业安全技术专家指出，海莲花（OceanLotus）组织本次攻击行为使用了典型的白加黑利用技术，通过带有效签名的可执行exe文件运行后自动加载木马文件，可见该组织在漏洞利用、白加黑利用技术、代码混淆等方面都有着很深的技术积累，极大地增加了杀毒软件的查杀难度。

腾讯御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。凭借基于行为的防护和智能模型两大核心能力，御界高级威胁检测系统可高效检测未知威胁，并通过对企业内外网边界处网络流量的分析，感知漏洞的利用和攻击。

腾讯企业安全技术专家提醒广大政府、企业用户，切勿随意打开来历不明的文档，同时安装安全软件加强防御，通过部署御界高级威胁检测系统，可及时感知恶意流量，检测钓鱼网址和远控服务器地址在企业网络中的访问情况，有效保护企业及政府机构的网络信息安全。