【安全资讯】疑似海莲花新活动，攻击目标似为国内大型企业（2019-11-13）

期威胁情报中心猎影实验室在文件威胁分析平台上监控发现疑似海莲花组织又有新的活动出现，其攻击目标似为国内大型企业。

海莲花（OceanLotus）是高度组织化的、专业化的境外国家级黑客组织。其活动迹象最早可追溯到到2012年。攻击目标包括中国及及其他东亚国家(地区)政府、海事机构、海域建设部门、科研院所和航运企业等。很明显海莲花组织是一个有国外政府支持的APT(高级持续性威胁)组织。

本次捕获到的样本名称为“定-关于报送2019年度经营业绩考核目标建议材料的报告.doc”，这是一个包含恶意宏代码的诱饵文档。打开文档内容如下：

样本执行的宏代码将通过regsvr32.exe 注册调用~$doc-ad9b812a-88b2-454c-989f-7bb5fe98717e.ole程序，该程序为dll文件。然后在新进程中释放伪装文档：

并解密出最终的payload进行执行。最终的payload为复杂木马。

文档模板在海莲花历史攻击样本中出现过类似的，如“2018年公司总结报告补充建议.doc”（md5: 115f3cb5bdfb2ffe5168ecb36b9aed54）。

最终的复杂木马也是海莲花使用的远控载荷之一，如“WinWord.exe”SFX样本（md5:d87e12458839514f1425243075cfc078）。

  可见该次活动似与海莲花关联。