实锤！越南黑客组织APT32多年多次窃取我国情报

　　4月24日，中国外交部例行记者会上，路透社记者提出了关于APT32在疫情期间攻击中国实体组织组织的相关提问，外交部发言人耿爽明确回应，网络攻击是各国面临的共同威胁，在当前新冠肺炎疫情蔓延全球的背景下，针对抗疫机构的网络攻击无疑应当受到全世界人民的同声谴责。APT32黑客组织，2015年首次由360 天眼实验室发现并发布了《OceanLotus（海莲花）APT报告摘要》，所以在国内被称为海莲花黑客组织。而APT指的是高级持续性网络威胁。
　　这支来自越南的APT32（海莲花）黑客组织从2012年以来一直非常活跃，根据网络专家的说法，这有可能是国家赞助的一支队伍。
　　2012年4月开始，APT32（海莲花）黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
　　目前，已捕获来自OceanLotus特种木马样本100余个，APT32黑客组织攻击都是经过精心策划的，被入侵的网站只向在白名单上的浏览者提供恶意软件，也就是针对具体实施目标展开行动。
　　感染者地图
　　据悉，感染者遍布中国国内29个省级行政区和境外的36个国家。其中92.3%的感染者在中国，而北京、天津是国内感染者最多的两个地区。
　　感染者中毒后，APT32黑客组织就达到了秘密控制部分政府人员、外包商和行业专家的电脑系统的目的，窃取系统中相关领域的机密资料，然后战略性的入侵目标网站，进而实施大规模的信息收集和数字化分析的目的。
　　为了隐蔽行踪，APT32黑客组织还至少先后在6个国家注册了C2服务器域名35个，相关服务器IP地址19个，服务器分布在全球13个以上的不同国家。
　　APT32攻击手法
　　这8年中，APT32进行了大量的APT(高级持续性威胁）行为。攻击了包括网络安全、制造、媒体、银行、酒店、技术等等相关公司，窃取资料包括商业机密、机密谈话日志和进度计划等等。
　　因为黑客倾向于针对特定企业、组织机构和个人，而这些目标无疑和越南地缘政治利益相关，相关专家均认为，APT32黑客组织很可能与越南政府有关，至少他们获取了越南政府的资助和保护。
　　360的＂天眼实验室＂表示,首先,APT32这种有组织、有计划的长期攻击行为需要很高的投入,不是一般商业公司能够负担的;其次,它觊觎的资料对商业机构没有什么价值。
　　海莲花黑客组织常用IP
　　综合来看,海莲花黑客组织的攻击周期之长、攻击目标之明确、攻击技术之复杂、社工手段之精准,都说明该组织绝非一般的民间黑客组织,而是具有国外政府支持的、高度组织化、专业化的国家级黑客组织。
　　而2020年2月疫情期间，海莲花黑客组织开始攻击了，根据安全研究公司FireEye的说法，从2020年1月至2020年4月期间，越南APT32（海莲花）黑客组织对中国目标进行了入侵活动。
　　APT32发出的诱饵邮件
　　FireEye指出，2020年1月6日，当时APT32黑客组织使用发件人地址lijianxiang1870 @ 163.com和主题发送了带有嵌入式跟踪链接的电子邮件给中国紧急管理部，附件中包括一期办公设备招标结果报告。但该钓鱼邮件内容包括了一个收件人电子邮件地址的跟踪链接。
　　在过去的数月中，APT32黑客组织持续对中国重要卫生医疗机构发起网络攻击，以试图获取和新型冠状病毒相关的重要信息情报,APT32黑客组织为达到目的，他们采用了＂湖南省家禽H5N1亚型高致病性禽流感疫情情况＂、＂冠状病毒实时更新：中国正在追踪来自湖北的旅行者＂等等这些大家关心的实时热点。骗取饵引诱受害者点击网页，然后进行鱼叉攻击。
　　诱饵截图
　　背后则是利用了利用合法带数字签名WPS可执行程序加载恶意DLL，通过诱导上述受害者点击执行，运行以后会通过侧加载方式装载恶意DLL，释放诱饵文档并且在内存中加载DenesRAT木马。DenesRAT木马具备文件操作、注册表读写、设置环境变量和远程执行代码等功能的后门，该后门被插入大量花指令用于对抗分析。
　　通过C2域名关联发现，APT32黑客组织此次攻击活动的目标或涉及我国某部委及武汉市多家政府机构，性质极为恶劣。
　　攻击手段
　　在攻击过程中，APT32黑客组织一直在尝试不同方法以实现在目标系统上执行恶意代码和绕过安全检测，其中经常使用的包含白利用和C2流量伪装等。
　　而白利用和压缩文件结合是APT32惯用的木马投递手法。
　　越南外交部发言人
　　但在此前的一次记者会上，越南外交部发言人否认了相关指控，越南外交部发言人黎氏秋恆（Lê Thị Thu Hằng）称越南＂并不允许任何针对平民和组织的网络攻击＂。黎氏在一篇邮件声明中说，越南＂谴责黑客行为，也会依法惩处一切网络攻击＂。