【安全资讯】APT32（海莲花）组织近期攻击活动样本分析

APT32（海莲花）组织是目前对我国进行攻击窃密行为最为活跃的APT组织之一，该组织主要针对我国及其他东亚国家（地区）政府、海事机构、海域建设部门、科研院所和航运企业等国家重要行业部门的核心关键单位进行攻击，具有强烈的政治背景。研究人员捕获了该组织最新的一次攻击活动，此次捕获的木马有如下3个新的特征：

• 使用Nim语言编写的开源loader NimPacket
• 未使用原始的NimPacket的有bug的获取进程方法，通过自定义的createprocess方法来获取进程，说明该组织对nimpacket进行了研究并非简单的使用
• NimPacket loader中默认加入Shellycoat，用于unhook安全软AV/NGAV/EDR/Sandboxes/DLP等，以此做到免杀。