记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

OceanLotus下载器KerrDown分析

OceanLotus (也叫做APT32),其主要攻击目标是东南亚。过去几年发生的多起攻击活动都与APT 32有关,虽然APT 32的攻击活动是全球性的,但其主要活动在APAC区域,主要攻击目标包括多个行业、外国政府、与越南相关的活动家和持不同政见者。本文介绍OceanLotus从2018年初开始使用的定制的下载器恶意软件KerrDown。研究人员在分析过程中还使用了Jaccard index(Jaccard相似系数)算法来找出KerrDown恶意软件家族与数据库中其他恶意软件家族的相似性。研究人员一共发现两种传播 KerrDown下载器的方法。第一个是使用含有恶意宏的office文档,第二个方法是使用含有DLL侧加载
发布时间:2019-03-05 12:20 | 阅读:135311 | 评论:0 | 标签:Web安全 OceanLotus

OceanLotus(海莲花)最新分析报告:越南政府背景,瞄准东盟、亚洲国家、媒体、人权组织和社会团体的APT组织

背景介绍 2017年5月,网络安全公司Volexity确定并开始跟踪一个攻击非常复杂、范围非常广泛的大规模网络监控和攻击活动,威胁活动的目标是几个亚洲国家、东盟组织、与媒体有关的个人和组织、人权组织和社会团体。这些攻击通常会战略性的入侵目标网站,该组织在几个引人注目的东盟峰会上都有非常积极活跃的表现。 Volexity将这一系列的网络袭击活动归因于高级持续性威胁(APT)组织:OceanLotus。 *注释:在国内被称为“海莲花”,2015年首次由360 天眼实验室发现并发布了相关的研究报告《OceanLotus(海莲花)APT报告摘要》)。 OceanLotus,也称为APT32,被认为是与越南政府有关的,具备丰厚的资源,能够利用先进的工具、战术和程序(TTP)针对特定的目标发动复杂的、先进的网络攻击。
发布时间:2017-11-10 13:10 | 阅读:152138 | 评论:0 | 标签:安全报告 APT攻击 OceanLotus Volexity 海莲花

天眼实验室:OceanLotus(海莲花)APT报告

摘要 2012年4月起,有境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。我们将其命名为OceanLotus(海莲花)。 该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。 现已捕获OceanLotus特种木马样本100余个,感染者遍布国内29个省级行政区和境外的36个国家。其中,3%的感染者在中国。北京、天津是国内感染者最多的两个地区。 为了隐蔽行踪,该组织还至少先后在6个国家注册了C2(也称C&C,是Command and Control的缩写)服务器域名35个,相关服务器IP地址19
发布时间:2015-05-30 07:35 | 阅读:265899 | 评论:0 | 标签:安全报告 360天眼 360天眼新一代威胁感知系统 APT-C-00 APT报告 C&C Command and Con

天眼实验室:OceanLotus(海莲花)APT报告摘要

摘要 2012年4月起,有境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。我们将其命名为OceanLotus(海莲花)。 该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。 现已捕获OceanLotus特种木马样本100余个,感染者遍布国内29个省级行政区和境外的36个国家。其中,3%的感染者在中国。北京、天津是国内感染者最多的两个地区。 为了隐蔽行踪,该组织还至少先后在6个国家注册了C2(也称C&C,是Command and Control的缩写)服务器域名35个,相关服务器IP地址
发布时间:2015-05-29 19:00 | 阅读:121411 | 评论:0 | 标签:APT报告 apt oceanlotus skyeye 天眼 海莲花

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云