OceanLotus近期活动汇总

2018年9月以来,国内国外相继报道OceanLotus组织活动,OceanLotus又名APT32、海莲花、Cobalt Kitty。是越南背景的APT攻击组织。该组织至少自 2012 年开始活跃,长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。以及包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。

9月国内安全平台微步在线发布OceanLotus活动报告,给出比较多的OceanLotus组织使用新IOCs信息。10月17日, Cylance威胁研究小组发布新的报告

在2017年年末Cylance发现了OceanLotus的几个定制后门以及该组织使用CobaltStrike Beacon攻击载荷执行C2的样本。OceanLotus通常会使用PowerShell来下载和部署恶意软件以及各种漏洞利用工具包。其中PE和ShellCode的加载器可以在内存中直接执行代码而不占用磁盘空间。OceanLotus使用的恶意软件协议针对不同的目标而定,从原始套接字到Http/Https。其中该组织定制的RAT中Roland,Remy和Splinter包含许多相似性的代码。Cylance一共发现了8个后门程序,并对各后门支持的控制命令、通信协议以及文件特征进行了分析。Cylance在其报告中更加详细的描述了OceanLotus特马分析

 

相关报告:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=785

https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf

https://threatvector.cylance.com/en_us/home/report-the-spyrats-of-oceanlotus.html

https://www.cylance.com/content/dam/cylance-web/en-us/resources/knowledge-center/resource-library/reports/SpyRATsofOceanLotusMalwareWhitePaper.pdf

发表评论

电子邮件地址不会被公开。 必填项已用*标注