一、情况

"海莲花"（别名APT32、OceanLotus），被觉得是来源于越南地区的APT攻击组织，自2012年活跃性至今，一直对于中国的比较敏感总体目标开展攻击主题活动，是近年来对于中国内地开展攻击主题活动的最活跃性的APT攻击组织之一。

在2019年第一季度，腾讯官方御见威胁情报管理中心不断的检验到该组织对于中国内地的阅批部门、海事局组织、商务接待单位、科学研究组织的攻击主题活动。除此之外该组织仍在持续的升级她们的攻击军械库，不论是钓鱼的鱼饵方式、payload的载入、横着挪动等。特别是在特别注意的是，大家发觉该组织对于不一样的设备下达不一样的恶意控制模块，促使就算恶意文档被安全性生产商捕获，也由于无有关设备特点而没法破译最后的payload，没法了解事后的有关主题活动。

主题活动钻石模型以下：

图1

二、技术指标分析

1、原始攻击

恶意文档递送的方法仍然是最常见的渔叉攻击的方法，钓鱼关键词包含"干部教育培训"，"业绩考核"，"工作方向"，"纪检"等，有关的电子邮件以下：

图2

图3

图4

此外该次攻击还增加了比较敏感內容的主题风格，客户吸引住被攻击者开启，如比较敏感照片：

图5

2、 鱼饵种类

2019年一季度递送的恶意鱼饵种类诸多，包含白加黑、lnk、doc文档、含有WinRAR ACE（CVE-2018-20250）系统漏洞的压缩文件等。

1） 白加黑

图6

图7

2） 恶意lnk

图8

3） 含有宏的恶意doc文档

图9

4） 含有WinRAR ACE（CVE-2018-20250）系统漏洞的压缩文件：

图10

图11

图12

图13

图14

图15

3、 恶意文档嵌入

1） 恶意lnk剖析

在1月的一波攻击中，该组织会在全部的递送的压缩文件里，都储放一个恶意的lnk，可是全部的lnk文件都相近（实行的详细地址不可以，可是內容一致）。lnk文件的图标装扮成word图标。特别注意的是，该lnk的图标会从互联网获得，因而假如虚拟服务器早已关掉，会造成该lnk无图标的状况。除此之外，还会继续导致就算不双击鼠标lnk，只需开启lnk所属的文件目录，便会出現数据连接的状况。

该状况的缘故是：explorer分析lnk的情况下会去分析图标，而这一lnk配备的图标在互联网上，因而会全自动去免费下载，但仅仅免费下载，不容易实行，看一眼不运作lnk文件得话，会泄露本身ip详细地址，但不容易造成电脑上中木马病毒。

图16

双击鼠标运作lnk后，会实行下述指令：

C:\\Windows\\SysWOW64\\mshta.exe

在其中， news.html具体为一个vbs脚本文档：