海蓮花”，又名APT32和OceanLotus，是越南背景的黑客組織。該組織至少自2012年開始活躍，長期針對中國能源相關行業(yè)、海事機構、海域建設部門、科研院所和航運企業(yè)等進行網(wǎng)絡攻擊。除中國外，“海蓮花”的目標還包含全球的政府、軍事機構和大型企業(yè)，以及本國的媒體、人權和公民社會等相關的組織和個人。
2017年下半年至今，微步在線發(fā)布了《“海蓮花”團伙的最新動向分析》、《“海蓮花”團伙專用后門Denis最新變種分析》、《微步在線發(fā)現(xiàn)“海蓮花”團伙最新macOS后門》和《“海蓮花”團伙本月利用Office漏洞發(fā)起高頻攻擊》等多篇報告，披露了APT32的相關攻擊活動。近期，微步在線黑客畫像系統(tǒng)監(jiān)控到該組織多平臺的攻擊活動，經(jīng)分析發(fā)現(xiàn)：
APT32的攻擊活動仍在持續(xù)，近期中國、韓國、美國和柬埔寨等國金融、政府和體育等行業(yè)相關目標遭到定向攻擊。
攻擊平臺包含Windows和macOS，攻擊手法相比之前變化不大，除都使用了偽裝Word文檔的可執(zhí)行程序之外，針對Windows平臺的還利用了CVE-2017-11882漏洞。
針對Windows平臺的木馬部分利用了白加黑技術，部分利用了Regsvr32.exe加載執(zhí)行OCX可執(zhí)行文件。此外，相比之前多利用Symantec公司簽名的程序進行白加黑利用來投遞Denis木馬，APT32近期增加了對Intel和Adobe公司簽名程序的白加黑利用。
針對macOS平臺的木馬相較之前其Dropper和Payload加了殼和虛擬機檢測。
微步在線通過對相關樣本、IP和域名的溯源分析，共提取22條相關IOC，可用于威脅情報檢測。微步在線的威脅情報平臺（TIP）、威脅情報訂閱、API等均已支持此次攻擊事件和團伙的檢測。
詳情
微步在線長期跟蹤全球150多個黑客組織。近期，微步在線監(jiān)測到APT32針對中國、韓國、美國和柬埔寨等國金融、政府和體育等行業(yè)相關目標的多平臺攻擊活動。 該組織近期手法與之前相比變化不大，其中針對Windows平臺的攻擊主要利用包含CVE-2017-11882漏洞的doc文檔結合白加黑利用和圖標偽裝為Word的RAR自解壓文件來投遞其特種木馬Denis，針對macOS平臺的亦同樣是將macOS應用程序偽裝為Word文檔進行木馬投遞。
與此前一樣，誘餌文檔內容都是模糊圖片，例如Scanned Investment Report-July 2018.ⅾocx：

樣本分析
微步在線在8月份監(jiān)控到多起APT32的攻擊活動，涉及Windows和macOS平臺。相關分析如下：
Windows樣本
漏洞樣本
在Office漏洞利用方面，APT32近期主要利用CVE-2017-11882漏洞投遞Denis木馬。《“海蓮花”團伙本月利用Office漏洞發(fā)起高頻攻擊》對CVE-2017-11882漏洞利用做過詳細分析，詳情可查閱相關報告。近期相關的部分漏洞樣本：
SHA256
文件名
誘餌內容
C2
攻擊手法
e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189
July , 2018.doc
模糊圖片
ourkekwiciver.comdieordaunt.comstraliaenollma.xyz
CVE-2017-11882加Intel白利用
0abe0a3b1fd81272417471e7e5cc489b234a9f84909b019d5f63af702b4058c5
FW Report on demonstration of former CNRP in Republic of Korea.doc
模糊圖片
andreagahuvrauvin.combyronorenstein.comstienollmache.xyz
CVE-2017-11882加Adobe白利用
以e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189為例，該樣本在微步在線云沙箱的分析結果如下圖所示，從“云沙箱-威脅情報IOC”可發(fā)現(xiàn)此樣本相關C2已被識別為APT32所有。

多引擎檢測：

執(zhí)行流程：

威脅情報IOC
RAR自解壓樣本
APT32經(jīng)常使用偽裝成Word文檔的可執(zhí)行程序作為投遞木馬的載體，通常還會結合RLO手法迷惑受害者。近期偽裝成Word文檔的部分RAR自解壓文件：
SHA256
文件名
誘餌內容
C2
攻擊手法
58e294513641374ff0b42b7c652d3b4a471e8bde8664a79311e4244be0546df4
Sum for July 2018.exe
模糊圖片
andreagbridge.comillagedrivestralia.xyzbyronorenstein.com
RAR自解壓，利用regsvr32.exe運行OCX
78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064
feedback, Rally in USA from July 28-29, 2018.exe
模糊圖片
stienollmache.xyzchristienollmache.xyzlauradesnoyers.com
RAR自解壓，利用regsvr32.exe運行OCX
以樣本78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064為例。使用WinRAR查看該文件，可發(fā)現(xiàn)該自解壓文件運行后會通過regsvr32.exe加載執(zhí)行釋放的OCX可執(zhí)行文件，然后打開誘餌文檔迷惑受害者，如下圖：

該樣本在微步在線云沙箱的分析結果如下圖所示，從“云沙箱-威脅情報IOC”亦可發(fā)現(xiàn)此樣本相關C2已被識別為APT32所有。