本文5412字阅读约需15分钟

    国家级APT（AdvancedPersistentThreat，，，，，，，，高级一连性威胁）组织是有国家配景支持的顶尖黑客团伙，，，，，，，，专注于针对特定目的举行恒久的一连性网络攻击。。。。。。。

    意昂体育-科技赋能场景,让娱乐更有趣!旗下的高级威胁研究团队红雨滴（RedDripTeam）每年会宣布全球APT年报【1】、中报，，，，，，，，对昔时各大APT团伙的运动举行剖析总结。。。。。。。

    虎符智库特约意昂体育-科技赋能场景,让娱乐更有趣!旗下红雨滴团队，，，，，，，，开设“起底国家级APT组织”栏目，，，，，，，，逐个起底全球各地区活跃的主要APT组织。。。。。。。本次锁定东南亚地区最为活跃的APT组织：OceanLotus（海莲花）。。。。。。。

    03

    OceanLotus

    OceanLotus（海莲花）是以中国为主要攻击目的的APT组织。。。。。。。在东南亚地区最为活跃。。。。。。。

    OceanLotus（海莲花）由意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队（前身为天眼实验室）最早披露并命名，，，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!内部跟踪编号为APT-Q-31。。。。。。。

    配景

    OceanLotus（海莲花）又名APT32、SeaLotus等称呼，，，，，，，，是一个据称有东南亚配景的APT组织，，，，，，，，其攻击运动最早可追溯到2012年4月。。。。。。。在首次披露的攻击运动中，，，，，，，，攻击目的涵盖了中国海事机构、海域建设部分、科研院所和航运企业。。。。。。。

    自2015年首次披露以来，，，，，，，，OceanLotus一连活跃至今，，，，，，，，后续针对中国境内的攻击运动扩展到险些所有主要机构，，，，，，，，包括政府部分、科研院所、境内高校和金融投资机构。。。。。。。

    凭证各清静厂商机构对该组织运动的拼图式揭破，，，，，，，，OceanLotus除针对中国提倡攻击之外，，，，，，，，其攻击所涉及的国家地区漫衍很是普遍，，，，，，，，包括越南周边国家（如柬埔寨、泰国、老挝等）和欧洲地区，，，，，，，，该组织的攻击目的还包括越南的异见人士、人权代表、媒体、环保组织等。。。。。。。

    OceanLotus的攻击不局限于国家级网络特工运动，，，，，，，，也延伸至商业情报窃取，，，，，，，，好比汽车制造行业。。。。。。。2019年，，，，，，，，丰田、现代、宝马等跨国汽车企业被报道遭到OceanLotus攻击，，，，，，，，导致数据泄露。。。。。。。

    另外，，，，，，，，OceanLotus被视察到举行加密钱币挖矿。。。。。。。2020年7月至8月，，，，，，，，该组织在针对法国和越南私营部分以及政府机构的攻击中，，，，，，，，将门罗币矿机程序安排在受害主机上。。。。。。。

    攻击特点手段、工具

    OceanLotus拥有很是高的社会工程学技巧，，，，，，，，常用鱼叉攻击和水坑攻击，，，，，，，，在近年来的攻击运动中还接纳了供应链攻击手法对高价值目的举行渗透。。。。。。。OceanLotus的攻击武器笼罩多平台，，，，，，，，已知具有针对Windows和MacOS系统的攻击工具，，，，，，，，疑似具备针对Android和Linux平台的恶意软件，，，，，，，，该组织善于团结果真的商业或开源工具实验攻击运动，，，，，，，，好比CobaltStrike，，，，，，，，Mimikatz。。。。。。。

    随着攻击运动一直被清静厂商曝光，，，，，，，，OceanLotus也在一直升级自己的攻击手法，，，，，，，，通过白使用、多阶段加载、代码混淆加密等手段增强隐藏性，，，，，，，，规避检测与追踪。。。。。。。

    从过往OceanLotus攻击运动中，，，，，，，，总结出该组织具有以下特点：

    醒目目的国家语言，，，，，，，，熟悉目的国家时势新闻热门以及政府组织结构，，，，，，，，能够制作出极具疑惑性的攻击诱饵；；；；；；

    能够组织长周期大规模的攻击运动，，，，，，，，综合使用鱼叉攻击、水坑攻击、社工攻击、供应链攻击等多种手法入侵高价值目的，，，，，，，，一旦获得一台机械的控制权，，，，，，，，便会扫描整个内网并横向移动以扩大熏染面，，，，，，，，OceanLotus在入侵和横向移动历程中具备使用0day/Nday误差的能力；；；；；；

    一直增强恶意代码隐藏性以规避检测，，，，，，，，常用的手法包括使用系统白名单程序、应用软件DLL挟制（白加黑）、多阶段加载、代码混淆加密；；；；；；

    为了隐藏真实身份，，，，，，，，经常变换下载效劳器和C2效劳器的域名和IP，，，，，，，，并且大大都域名为了对抗溯源都开启了Whois域名隐藏，，，，，，，，使得剖析职员很难知道恶意域名背后的注册者，，，，，，，，还曾在历史攻击运动中使用DGA（域名天生算法）进一步逃避检测追踪。。。。。。。

    （一）攻击手段

    1.鱼叉攻击

    OceanLotus制作的鱼叉邮件大都具有很是本土化的邮件主题，，，，，，，，贴合目的国家的时势热门，，，，，，，，疑惑性极强，，，，，，，，并且使用的攻击诱饵类型多样。。。。。。。

    在历次攻击运动中泛起过以下类型攻击诱饵：

    (1)携带恶意宏或误差使用的Office文档；；；；；；

    (2)使用word程序图标举行伪装的可执行文件；；；；；；

    (3)正当可执行文件加恶意DLL（白加黑）诱饵；；；；；；

    (4)Chm文件诱饵；；；；；；

    (5)Lnk文件诱饵；；；；；；

    (5)Hta文件诱饵；；；；；；

    (6)携带CVE-2018-20250误差的WinRAR压缩包；；；；；；

    (7)SFX自解压文件。。。。。。。

    图1OceanLotus通过鱼叉邮件的攻击链【2】

    2.水坑攻击

    OceanLotus接纳两种手段制作水坑：攻陷正当网站植入恶意Javascript代码，，，，，，，，或者搭建伪装为正当网站的恶意网站。。。。。。。OceanLotus通过水坑网站除了直接向目的系统投递恶意软件，，，，，，，，还团结社会工程学手段制作垂纶页面窃取攻击目的的邮箱账号。。。。。。。

    3.社工攻击

    社会工程学也是OceanLotus常用的攻击手段。。。。。。。该组织曾在Facebook等平台上伪造身份为运动家和商业实体的角色。。。。。。。为了使这些虚构人物或者组织显得更真实可信，，，，，，，，OceanLotus会在多个互联网效劳平台上伪造相关信息。。。。。。。该组织在互联网上建设的一些社交页面用来吸引特定关注者，，，，，，，，以便后续举行定向的网络垂纶或者下发恶意软件。。。。。。。

    4.供应链攻击

    在最近几年的攻击运动中，，，，，，，，OceanLotus最先接纳供应链攻击方法，，，，，，，，向攻击目的组织机构的IT效劳商提倡攻击，，，，，，，，通过熏染上游IT效劳商，，，，，，，，并借助网络界线装备（如VPN）的误差进入攻击目的的内网。。。。。。。

    （二）使用工具及手艺特征

    OceanLotus使用的网络武器包括制作水坑网站的Javascript恶意代码框架、针对Windows和MacOS系统的恶意软件。。。。。。。

    别的，，，，，，，，清静厂商还披露了与OceanLotus组织保存关联的Android和Linux平台恶意软件。。。。。。。

    1.水坑网站Javascript恶意代码框架

    OceanLotus通过植入的Javascript恶意代码追踪网站会见者，，，，，，，，并收聚会见者装备信息，，，，，，，，然后对目的职员接纳对应攻击行动。。。。。。。

    Javascript代码具有如下特征：

    (1)多阶段加载，，，，，，，，植入第一阶段Javascript代码认真检测运行情形，，，，，，，，并凭证检测效果决议是否从C2获取第二阶段Javascript代码；；；；；；

    (2)第二阶段Javascript为开源项目fingerprintjs2的修改版，，，，，，，，作用是收聚会见装备的信息并加密转达给第二阶段C2；；；；；；

    (3)凭证网络的用户装备信息判断是否属于攻击目的，，，，，，，，只向攻击目的下发Javascript攻击代码实验后续攻击行为。。。。。。。

    图2OceanLotus使用水坑攻击网络装备信息并下发后续payload【3】

    2.Windows平台

    OceanLotus针对Windows系统的攻击工具包括Denis木马、Remy木马、CobaltStrike木马以及KerrDown下载器，，，，，，，，其中由CobaltStrike天生的木马最常见。。。。。。。

    除此之外OceanLotus还使用Powershell剧本和果真工具（如Mimikatz、nbtscan）举行内网渗透和横向移动。。。。。。。

    OceanLotus在Windows平台的攻击运动具有如下特征：

    (1)多阶段加载

    恶意代码从植入目的系统到最终远控运行，，，，，，，，通常唬唬唬唬唬会履历多阶段加载，，，，，，，，后续载荷获取方法包括：从目今载荷自身数据提取、读取其他文件数据以及从C2效劳器下载。。。。。。。

    (2)代码混淆加密

    为了阻止检测剖析，，，，，，，，OceanLotus恶意代码在每个阶段的载荷基本都会经由加密处置惩罚，，，，，，，，使用的加密算法包括种种XOR加密和对称加密（好比RC4、AES）。。。。。。。OceanLotus还曾使用过图片隐写手艺隐藏后续载荷，，，，，，，，详细做法是将后续载荷的加密数据存放在png类型图片像素的最低有用位。。。。。。。从2019年最先，，，，，，，，OceanLotus植入目的系统的后门泛起定制化特点，，，，，，，，即后续载荷需要用与目的主机某个特征标识（好比主机名、IP地点或者MAC地点）的hash值作为密钥才华乐成解密，，，，，，，，该要领不但增强了恶意软件的隐藏性，，，，，，，，也极大阻碍了清静职员对其攻击行为的剖析与追踪。。。。。。。

    除了加密，，，，，，，，OceanLotus还经常使用种种代码混淆手段对抗静态剖析。。。。。。。别的，，，，，，，，OceanLotus有时也会在恶意程序文件末尾中填充大宗无效数据，，，，，，，，增添文件尺寸，，，，，，，，滋扰一些清静软件的检测剖析。。。。。。。

    (3)白使用

    OceanLotus会使用一系列白使用手法绕过杀毒软件检测，，，，，，，，曾使用过Windows系统白名单程序odbcconf、msbuild执行恶意软件。。。。。。。该组织使用最多的白使用手法是DLL挟制（白加黑），，，，，，，，即可执行文件都是带有数字署名的正常应用程序，，，，，，，，而与之相关的DLL文件被替换为了恶意DLL。。。。。。。

    (4)远控后门与C2效劳器通讯方法除了通例的TCP协议，，，，，，，，还使用过DNS隧道和ICMP协议。。。。。。。

    (5)远控后门既有直接毗连C2效劳器类型，，，，，，，，也有建设命名管道期待毗连和监听端口期待毗连类型。。。。。。。

    3.MacOS平台

    OceanLotus针对MacOS平台的后门功效为网络操作系统信息上传C2效劳器和吸收执行C2指令。。。。。。。后门通常由植入恶意软件中的dropper组件释放，，，，，，，，dropper还认真建设长期化，，，，，，，，以及修改后门程序文件时间戳增添其隐藏性。。。。。。。与Windows平台类似，，，，，，，，MacOS平台的后门借助加密隐藏要害字符串。。。。。。。别的，，，，，，，，MacOS平台后门在后续刷新升级历程中还具备了反调试和反沙箱功效。。。。。。。

    4.Android平台

    2020年，，，，，，，，卡巴斯基披露了一类通过安卓应用市肆（好比GooglePlay）分发的木马应用，，，，，，，，由于该类安卓木马在代码特征上与OceanLotusMacOS后门有一些相似之处，，，，，，，，并且使用的C2效劳器与OceanLotusWindows后门保存重叠，，，，，，，，故这类安卓木马被以为是OceanLotus的Android平台后门。。。。。。。

    此类安卓木马将经由AES加密后的恶意载荷嵌入应用之中（好比安排在应用资源文件夹下）。。。。。。。恶意载荷的manifest清单文件中不包括任何权限申请，，，，，，，，权限获取通过挪用未在官方文档纪录中的AndroidAPI实现。。。。。。。

    图3安卓后门PhantomLance与OceanLotus的关联【4】

    5.Linux平台

    2021年披露的Linux平台后门RotaJakiro（双头龙）因与OceanLotus的MacOS后门样本在代码特征上有诸多相似之处，，，，，，，，被以为与OceanLotus相关。。。。。。。

    RotaJakiro接纳了动态天生的AES加密常量表，，，，，，，，双层加密的通讯协议等手艺对抗清静职员的二进制和网络流量剖析。。。。。。。该后门在运行时会凭证目今用户是否为root用户执行差别的长期化、历程守护以及简单实例战略，，，，，，，，使用AES和rotate的组合算法解密敏感数据。。。。。。。

    着名攻击事务

    （一）OceanLotus首次曝光

    2015年，，，，，，，，OceanLotus对中国政府、科研院所、海事机构、海域建设、航运企业等主要领域实验的不中止攻击被曝光【5】，，，，，，，，使该组织首次为众人所知。。。。。。。

    该组织主要通过鱼叉攻击和水坑攻击等要领，，，，，，，，配合多种社会工程学手段举行渗透，，，，，，，，向境内特定目的人群撒播特种木马程序，，，，，，，，神秘控制部分政府职员、外包商和行业专家的电脑系统，，，，，，，，窃取系统中相关领域的神秘资料。。。。。。。

    2014年2月以后，，，，，，，，OceanLotus进入攻击活跃期，，，，，，，，并于2014年5月发动了最大规模的一轮鱼叉攻击，，，，，，，，大宗受害者因翻开带毒的邮件附件而熏染特种木马。。。。。。。在2014年5月、9月，，，，，，，，以及2015年1月，，，，，，，，该组织又对多个政府机构、科研院所和涉外企业的网站举行改动和挂马，，，，，，，，发动了多轮次、有针对性的水坑攻击。。。。。。。

    （二）CobaltKitty行动

    2017年清静厂商cybereason披露了OceanLotus针对跨国企业的商业神秘窃取行动”CobaltKitty”【6】。。。。。。。

    OceanLotus通过向公司高层治理职员投递鱼叉垂纶邮件，，，，，，，，入侵了副总裁、高级主管和运营部分其他要害职员的盘算机，，，，，，，，共攻陷了40多台PC和效劳器，，，，，，，，包括域控效劳器、文件效劳器、Web效劳器和数据库效劳器。。。。。。。

    在此次攻击运动中，，，，，，，，OceanLotus使用对微软、谷歌和卡巴斯基应用程序的DLL挟制启动后门，，，，，，，，并使用了以微软Outlook为C2通讯信道的新型后门。。。。。。。

    （三）大规模数字监控和攻击

    2017年5月，，，，，，，，清静公司Volexity发明，，，，，，，，OceanLotus发动了针对ASEAN（东南亚国家同盟）、周边国家（柬埔寨、中国、老挝、菲律宾）以及越南境内人权组织、新闻媒体、民主整体组织的大规模网络攻击运动【7】，，，，，，，，凌驾100个组织或个体网站被攻陷。。。。。。。

    OceanLotus在攻陷网站网页中植入恶意Javascript代码，，，，，，，，对特定组织和小我私家睁开定向攻击，，，，，，，，团结社交工程学手段在攻击目的的系统中装置恶意软件或者窃取目的的邮箱账号。。。。。。。

    在此次攻击中，，，，，，，，OceanLotus建设了大宗模拟正当网络效劳提供商（好比Akamai、百度、Cloudfare、Google）的域名，，，，，，，，使用的基础设施横跨多个托管效劳提供商和国家。。。。。。。

    （四）针对东南亚的水坑攻击

    2018年11月，，，，，，，，ESET披露了OceanLotus新一轮水坑攻击【3】。。。。。。。这轮水坑攻击至少起始于2018年9月，，，，，，，，披露时已确定被攻陷的网站有21个，，，，，，，，涉及柬埔寨国防部、柬埔寨外交与国际相助部以及越南新闻和博客网站。。。。。。。

    在此次水坑攻击中，，，，，，，，OceanLotus最先使用非对称密码举行AES会话密钥的交流，，，，，，，，会话密钥用来加密与C2效劳器的通讯数据，，，，，，，，从而阻止最终载荷被清静防护产品截取。。。。。。。别的，，，，，，，，攻击者还将HTTP协议切换为WebSocket协议进一步隐藏通讯数据。。。。。。。

    （五）PhantomLance攻击行动

    2020年卡巴斯基发明了一类通过安卓应用市肆分发的木马应用，，，，，，，，称之为”PhantomLance”攻击行动【4】，，，，，，，，以为该攻击行动与OceanLotus有关。。。。。。。Bitdefender发明这个针对Android平台的攻击行动可追溯至2014年【8】。。。。。。。

    在险些所有恶意软件安排案例中，，，，，，，，攻击者都试图通过建设仅包括虚伪的最终用户允许协议(EULA)的Github帐户来构建虚伪的开发职员资料。。。。。。。攻击者接纳如下手段在应用市肆宣布恶意安卓应用：上传到应用市肆的初始版本不包括任何恶意载荷或用于释放恶意载荷的代码，，，，，，，，从而绕过应用市肆的检测，，，，，，，，再通事后续版本更新向应用中加入恶意载荷和代码以释放并执行这些恶意载荷，，，，，，，，如图4所示。。。。。。。

    在这些恶意应用中，，，，，，，，除了常见的诱饵应用程序（例如Flash插件、整理程序和更新程序）外，，，，，，，，尚有一些专门针对越南地区的应用程序，，，，，，，，可以看出越南属于木马应用的目的投放区域。。。。。。。

    图4使用版本更新植入恶意代码【4】

    （六）借助伪造网站的水坑攻击

    2020年，，，，，，，，Volexity披露OceanLotus建设运营了多个伪造为维权、新闻和反糜烂主题的网站，，，，，，，，并借此向特定的网站会见者提倡水坑攻击【9】。。。。。。。该组织还运营了与伪造网站相关的Facebook账户，，，，，，，，用以提高网站的可信度。。。。。。。凭证伪造网站的主题内容可以判断这些攻击运动的目的区域包括越南及其周边国家。。。。。。。

    在披露之后，，，，，，，，Facebook接纳行动禁用了与伪造网站相关的Facebook账户，，，，，，，，并将攻击运动关联到越南一家名为CyberOne的IT公司【10】。。。。。。。

    总结

    总体而言，，，，，，，，OceanLotus的攻击目的集中在越南周边国家和越南本土的人权、环保和新闻媒体等组织机构。。。。。。。

    该组织发动的攻击运动周期长、攻击使用的基础设施数目多漫衍广、攻击的针对性和手法重漂后很高，，，，，，，，可以看出该组织背后强盛的国家政府支持。。。。。。。

    自曝光以来，，，，，，，，OceanLotus一直处于活跃状态，，，，，，，，一直升级刷新攻击手段以对抗剖析与追踪，，，，，，，，并且将中国作为主要攻击目的之一，，，，，，，，值得我们高度重视。。。。。。。

    注解

    https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

    https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html

    https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/

    https://securelist.com/apt-phantomlance/96772/

    https://ti.qianxin.com/uploads/2018/01/26/807a12464561e0ee33f8d906585796d8.pdf

    https://www.cybereason.com/blog/operation-cobalt-kitty-apt

    https://www.volexity.com/blog/2017/11/06/oceanlotus-blossoms-mass-digital-surveillance-and-exploitation-of-asean-nations-the-media-human-rights-and-civil-society/

    https://www.bitdefender.com/blog/labs/android-campaign-from-known-oceanlotus-apt-group-potentially-older-than-estimated-abused-legitimate-certificate/

    https://www.volexity.com/blog/2020/11/06/oceanlotus-extending-cyber-espionage-operations-through-fake-websites/

    https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/

    关于作者

    意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队（RedDripTeam，，，，，，，，@RedDrip7），，，，，，，，依托全球领先的清静大数据能力、多维度多泉源的清静数据和专业剖析师的富厚履历，，，，，，，，自2015年一连发明多个包括海莲花在内的APT组织在中国境内的恒久运动，，，，，，，，并宣布海内首个组织层面的APT事务揭破报告，，，，，，，，开创了海内APT攻击类高级威胁系统化揭破的先河。。。。。。。阻止现在，，，，，，，，一连跟踪剖析的主要APT团伙凌驾46个，，，，，，，，自力发明APT组织13个，，，，，，，，一连宣布APT组织的跟踪报告凌驾90篇，，，，，，，，按期输出半年和整年全球APT运动综合性剖析报告。。。。。。。