11月14日，研究人员发布了报告，介绍了海莲花APT组织在过去的一段时间，内网渗透过程中所用的一些手法，并披露其在2021年所使用的三个0day漏洞和数个Nday漏洞，恶意代码方面披露近期使用的一些免杀loader、释放的一些功能模块和基于不同语言的隧道转发工具。漏洞一出现在某终端管理软件中，服务端和客户端均本地监听了一个2开头的高端口（2XXXX），与该端口通信数据走的是私有协议，漏洞出现在对发来的数据包进行判断的逻辑。漏洞二出现在某终端管理系统服务端web管理页面，由于登录页面需要令牌验证，安全性很高，但海莲花可能在之前拿到了整站源码找到一个隐藏的登录页面（该页面只需要输入账号密码没有多余的验证），并且拿到了登录的账号密码，成功登录到web端管理后台，并通过其中的一个带有漏洞页面，写入恶意脚本，从而实现命令执行。

2020年至今，OceanLotus组织(“海莲花”)利用国内外失陷IoT设备做流量中转，研究人员于2021年找到证据确定Torii僵尸网络背后攻击者实际为OceanLotus组织，并且证实Torii僵尸网络控制的主机被用于APT攻击活动的流量隐藏&跳板，流量转发的方式包括iptables转发、tinyPortMapper等，失陷设备代理流量的木马类型包括CobaltStrike、Buni、Torii、Remy等。Torii木马家族，最早在2018年由Avast安全厂商披露，而后在2021年国内友商报告中提到Torii木马和RotaJakiro（双头龙）存在相似的代码设计思路，木马最新版本和Avast安全厂商披露的版本存在通信流量加密算法上的细微变动。

“海莲花”，又名APT32和OceanLotus，是疑似越南背景的黑客组织。研究人员跟进“海莲花”组织，对其流量隐藏的手法深入调查分析后有以下发现：攻击者利用1Day、NDay漏洞攻击国内外的IoT设备，且使用Torii特马长期控制，受害设备类型至少包括：三星、Vigor、Draytek路由器和物联网摄像头等；Torii木马最早由国外Avast安全厂商在2018年所披露，这表明Torii僵尸网络至少在2018年就开始部署，而后在2021年国内友商披露的RotaJakiro（双头龙）和Torii也存在相似的代码设计思路；

近日，安恒信息分子实验室捕获到了“海莲花(OceanLotus)”的攻击活动样本。当用户打开WINWORD.EXE时，会加载恶意文件（MSVCR100.dll），该恶意文件会释放3个文件，分别执行持久化、下载下一阶段后门和信息收集并回传，该样本采用白+黑的方式实现防御规避，通过创建计划任务实现持久化。此外，样本会通过不透明谓词、花指令等方案对抗静态分析。

国外厂商发布了一篇关于mht格式文件（Web归档文件）通过携带的Office宏植入恶意软件的分析报告，其中提及的样本采用的攻击手法与海莲花组织存在相似之处，因此研究人员再现了利用Glitch平台的攻击样本，并发布分析报告。由于攻击流程中也存在着一些不同于海莲花过往攻击活动的特点，因此不排除其他攻击团伙模仿海莲花的可能性。 简况此类攻击样本具有如下特点：宏代码会根据系统版本释放32位或64位恶意DLL，释放恶意DLL时会插入一段随机数据；宏代码和恶意DLL均进行了代码混淆；恶意DLL将收集的信息回传给Glitch平台托管的C2服务，然后下载经过7z压缩的后续恶意软件并执行。

OceanLotus（海莲花）组织又名APT32和SeaLotus，是一个以政府和记者为目标的东南亚APT组织。近日，研究人员发现，OceanLotus组织正使用WEB存档文件（.MHT 和 .MHTML）部署后门。 简况攻击链从一个 RAR 文件开始，该文件包含受感染的 Web 存档文件，可能通过网络钓鱼活动传播，其中的MHT文件非常大，介于 35 到 63 MB 之间，包含恶意Word 文档以及其他文件。与此恶意活动相关的 RAR 文件如下： 研究人员在RAR 中发现了“ Zone.Identifier ”文件，这是一个常见的 ADS（备用数据流），用于存储有关原始文件的元数据。为了绕过 Microsoft Office 保护，攻击者已将文件元数据中的 ZoneID 属性设置为“2”，使其看起来好像是从可靠的合法来源下载的。

海莲花（OceanLotus）是一个东南亚背景的APT组织。该组织最早于2015年5月被披露并命名，其攻击活动最早可追溯到2012 年4月，攻击目标包括人权代表、异见人士、媒体、银行、海事机构、海域建设部门、科研院所和航运企业，后扩展到几乎所有重要的组织机构，受害区域涉及东亚、东南亚、欧洲等地区，持续活跃至今。研究人员发布了对海莲花组织在过去一段时间内的攻击手法的分析回顾。 简况海莲花组织在横向移动过程中使用了多种脚本。爆破脚本功能较为简单，仅针对445端口下的administrator账户进行爆破。经过数次版本迭代后，增加了对MSSQL、FTP、HTTP和对常见端口的扫描。海莲花在横向移动过程中会使用nbtscan脚本对内网进行扫描，利用PS脚本将编码后的Nbtscan注入到Notepad.exe中。

2021年4月底，研究人员发现了一个至少潜伏3年的针对Linux x64系统的零检测后门木马RotaJakiro。在5月4日，有研究人员提出该后门疑似归属于OceanLotus(APT32)组织，可能是该组织开发的Linux版本后门木马。RotaJakiro隐蔽性较强，对加密算法使用较多，包括：使用AES算法加密样本内的资源信息；C2通信综合使用了AES，XOR，ROTATE加密和ZLIB压缩算法。其功能包括：上报设备信息、窃取敏感的信息、文件/Plugin管理(查询，下载，删除)、执行特定的Plugin。RotaJakiro支持以下4类功能：

海莲花（APT32）组织在2018年2月至2020年11月之间通过间谍软件针对越南人权捍卫者（HRD）发起攻击。据 Amnesty 安全实验室透露，海莲花还向越南一个非盈利人权组织（NPO）发起过攻击。该黑客组织使用的间谍软件可以在受感染的系统上读写文档，启动恶意工具和程序从而监视受害者的活动。Amnesty的研究员认为，海洋莲花最近的攻击并不是突发的，而是过去15年来持续不断的攻击活动中的一部分，它也凸显了越南激进分子在国内外捍卫人权所收到的压力。下图是海莲花组织针对越南人权捍卫者的间谍活动时间线。

近日，Amnesty Tech披露了OceanLotus从2018年2月到2020年11月对人权捍卫者(human rights defenders)的网络攻击活动。据悉，OceanLotus是来自东南亚的APT组织，该组织从2014年开始一直保持着活跃状态，主要的攻击目标是私企和人权捍卫者。 AmnestyTech的安全研究员捕获了海莲花针对非营利性人权组织攻击的最新样本，包括Windows平台和MacOs平台。 其中，在Windows平台上运行的是一款名为Kerdown的恶意软件。Kerrdown是一个下载器，该恶意软件可以在受害者主机上安装其他恶意软件并打开诱饵文档以迷惑用户。在此次攻击事件中，Kerrdown下载了CobaltStrike的后门木马以实现对受害者主机的完全控制，在过去三年中，海莲花一直在使用CobaltStrike进行APT攻击。 在MacOS平台上运行的是一款名为Spyware的恶意软件，该恶意软件最早由趋势科技在2018年4月披露，Spyware感染受害者主机后，攻击者可自由的访问受害者系统，窃取信息、下载文件、上传其他攻击组件或执行shell命令。