威胁情报 | 海莲花组织疑似针对国产操作系统及 IOT 设备发起攻击

作者：知道创宇404高级威胁情报团队

1.1 组织介绍

海莲花（OceanLotus），又称 APT32，是一个具有国家背景的高级持续性威胁（APT）组织，该组织自2012年起活跃，主要针对东亚及东南亚地区的政府机构、企业、媒体和活动家等，近年来，多次针对国内重点单位展开攻击活动。该组织攻击手法多样，拥有大量自研武器，常在攻击活动不同阶段结合开源工具达成攻击目的。

1.2 概述

近期，知道创宇404高级威胁情报团队再次捕获到海莲花组织的攻击样本。与此前屡次捕获的Windows后门木马不同，此次样本针对的是ARM64架构的系统。

众所周知，ARM架构主要用于嵌入式系统和移动设备系统，例如苹果的iOS系统、IOT设备的系统等。在常见的linux系统中，虽然提供了ARM架构的支持，但是在实际的生产环境下，依然是X86架构系统为主。 因此我们有理由怀疑此次样本针对的目标可能是IOT设备。

此外，目前国产麒麟操作系统的核心架构ARM为主，该系统被广泛应用于政府、金融、工控等重点机构和领域，此次捕获后门同样具备针对麒麟系统的执行远程控制和数据窃取的能力。

1.3 核心发现

自2024年以来，我们观察到该组织频繁使用Mingw对武器进行编译，根据捕获时间的先后，分别命名为"mingwdoor-1"和本次的"mingwdoor-2"，两者在代码上有一定的相似性，但在加密通信方面则差别甚大。

本次截获的后门程序具有以下显著特征：该恶意软件由海莲花（OceanLotus）组织专门针对ARM64架构开发，与其先前针对X86架构的后门（mingwdoor-2）存在明显的同源特征，为方便区分，特命名为"mingwdoor-ARM-2"。

本次捕获样本在代码方面保持着极高的混淆和免杀水准，攻击者利用多种类型的无用数据循环填充代码，不仅能加大静态分析难度，还能减缓动态运行的速度，在一定程度上躲避沙箱的动态查杀：

使用nmap开辟空间后，使用mprotect修改内存运行权限，最终将解密的shellcode写入并跳转执行：

shellcode既是后门的核心代码，该代码与近期捕获该组织Windows下的后门代码有大量的代码重叠，经过分析两者系同一后门不同架构的实现。

两者不同之处在于Windows下后门使用socket与服务端进行HTTP通信，而ARM64则使用Libcurl库进行SSL通信。事实上，该后门均是使用Libcurl库提供网络支持，该库提供了多种协议的通信支持，最终通信根据其配置的远程服务器地址而定。

前文所提到的mingwdoor-1同样使用Libcurl提供通信支持，不同的是交互数据使用AES进行加密，而mingwdoor-2则使用简单的xor进行加密：

根据以往我们捕获的攻击事件显示，海莲花组织近年来持续针对防火墙漏洞、VPN缺陷、路由器设备以及Linux/Windows系统实施网络渗透。海莲花通过这种跨平台武器部署，已构建起针对个人电脑、物联网设备、服务器及国产操作系统的多维立体化攻击体系。

历史攻击数据显示，海莲花组织长期采用定制化后门程序对国内重点机构实施网络渗透。其攻击技术呈现两大技术特征：一方面，通过非常规编程语言和特殊编译环境构建恶意代码，显著增加了安全人员的逆向分析难度；另一方面，该组织成熟的代码混淆技术和持续演进的免杀能力，使其攻击载荷在真实攻防对抗中具备极强的隐蔽性和存活能力。

面对海莲花组织日益完善的跨平台攻击体系，建议从战略层面构建整体防御框架。首先需要建立覆盖全平台的威胁感知能力，通过持续监测网络边界设备、终端系统和物联网设备的异常行为，形成立体化安全态势感知。其次应强化基础架构的纵深防御体系，在硬件架构、操作系统和网络协议等不同层面实施防护措施，特别要重视国产操作系统与ARM架构环境的安全加固。同时要提升威胁情报的协同分析能力，通过共享攻击特征、战术手法等技术指标，实现对跨平台攻击链路的有效阻断。最后建议建立动态防御机制，定期评估防御体系的有效性，并根据攻击手法的演变持续优化防护策略。这种系统性防御思路有助于应对APT组织不断升级的立体化攻击威胁。

f18f8ae479xxxxxxxxxxxxxxxxxxxxxxxxx13e82a2cd9adb714a5f365ce25

原文始发于微信公众号（白帽子）：威胁情报 | 海莲花组织疑似针对国产操作系统及 IOT 设备发起攻击