一、概述“海莲花”,又名“OceanLotus”,该APT组织是长期针对中国境内,且攻击活动十分活跃的组织。近期发现该组织使用了MSI文件滥用的新手法,将远程控制木马植入MST文件来修改MSI文件安装...
巧用AI回溯海莲花APT样本释放过程
恶意代码分析:最近帮朋友分析了一个APT组织海莲花样本,尝试使用AI插件来分析完整的文件释放过程,留此记录。海莲花(OceanLotus,APT32)是一支活跃在东南亚地区的APT(高级持续性威胁)组...
海莲花对MSI文件滥用的新手法——MST文件白加黑复现
0x00 前言看到一篇QAX之前对海莲花攻击活动的分析文章:https://mp.weixin.qq.com/s/alaZxCd61gJNI9D01eQzgg研究了下里面提到的初始钓鱼样本如何复现。原...
Operation(Giỗ Tổ Hùng Vương)hurricane:浅谈新海莲花组织在内存中的技战术
概述新海莲花组织最早出现于2022年中,直到2023年底转入不活跃状态,2024年11月重新活跃并被我们快速制止并披露[1],在2023年全年新海莲花组织展示出于以往完全不同的技战术,进攻水平也比之前...
网安全牛马注意了!!!某提权工具被投毒植入后门
昨天圈内就开始流传某提权工具被植入后门经微步研判,该事件为东南亚APT组织“海莲花”利用GitHub发布带有木马的Cobalt Strike漏洞利用插件,针对网络安全人员发起的定向攻击。攻击者在此次攻...
警惕境外APT组织在GitHub投毒,攻击国内安全从业者、指定大企业
1摘要近期网络流传网络安全从业人员使用的某提权工具被植入后门,造成了工具使用者的身份和数据泄露。经微步研判,该事件为东南亚APT组织“海莲花”利用GitHub发布带有木马的Cobalt Strike漏...
海莲花APT组织样本分析
看雪论坛作者ID:寒江独钓_ 1利用wirkeshake抓包初步分析此样本是从网络搜集下载,用以个人研究,不足之处请多指教!话不多说,直接开始。经典的图标伪装,伪装成一个DOC文档,以为换个马甲就不认...
MSI 文件滥用新趋势:新海莲花组织首度利用 MST 文件投递特马
概述奇安信威胁情报中心在最近的日常运营过程中发现我们从 2022 年中就开始持续跟踪的新海莲花组织开始重新活跃,并使用了 MSI 文件滥用的新手法,尽管 MSI TRANSFORMS 技术理论上在 2...
海莲花APT的某款样本分析 | 42期
APT海莲花的某款样本分析小常识: APT海莲花的英文名字 OceanLotus。01 身份证名字: 36 ASEAN Summit 26-06-2020 Conference.doc~.exe。S...
APT-C-00(海莲花)双重加载器及同源VMP加载器分析
APT-C-00海莲花APT-C-00(海莲花)(也称OceanLotus)组织是一个有政府背景的境外黑客组织,自2015年360曝光海莲花以来,360高级威胁研究院一直持续跟进监测海莲花组织的最新攻...
研究人员发现海莲花APT组织针对越南人权捍卫者
导 读一个支持越南人权的非营利组织已成为黑客组织多年活动的目标,该活动旨在向受感染的主机传播各种恶意软件。网络安全公司 Huntress 将该活动归咎于一个名为 APT32 的威胁集群,这是一个与越南...
行业研究|海莲花活跃木马KSRAT加密通信分析
1概 述自2023年8月至今,海莲花组织多次利用KSRAT远控木马对我国发起攻击。KSRAT通过HTTP协议与C&C服务器进行通信,每个样本都使用了不同的URL。其心跳包采用XOR算法进行加密...