主要观点总结
本文主要介绍了新海莲花组织的技术特点、攻击手段、目的等信息,包括其使用多个0day漏洞针对特定领域开展间谍活动,内存技战术,以及针对安全产品的对抗方式等。同时,文章还提到了老海莲花继承攻击资源发起的新一波供应链事件,以及APT组织融入国内黑灰产上下游的现象。最后,文章总结了针对此类攻击的精准检测方法。
关键观点总结
关键观点1: 新海莲花组织的技术特点
新海莲花组织通过终端软件0day漏洞向内网特定终端下发恶意更新,实现供应链攻击。该组织在内存中精准告警所有内存插件,使用Cobalt Strike等工具有特定的特征,如屏幕截图并发送到C2服务器。此外,该组织还使用了多种插件如文件名收集插件、管道特马、ssh登录插件等。
关键观点2: 新海莲花组织的攻击目的
新海莲花组织的攻击目的似乎是为了窃取我国能源和军工领域在中东、中亚、非洲、东亚的部署情况。该组织的攻击行为可能服务于东南亚国家的情报服务,同时也不排除其他域外大国的可能性。
关键观点3: APT组织的融合与对抗方式
APT组织已经深度融入国内黑灰产上下游中,通过购买国内VPS服务器作为代理和C2。老海莲花继承了新海莲花的攻击资源,并通过一些渠道购买国内VPS来发起新的供应链事件。这些APT组织对安全产品也有一定的对抗方式,如针对360安全卫士和天擎EDR的对抗手段。
关键观点4: 精准检测方法
基于奇安信威胁情报中心的威胁情报数据的全线产品已经支持对此类攻击的精确检测,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统等产品。
文章预览
概述 新海莲花组织最早出现于2022年中,直到2023年底转入不活跃状态,2024年11月重新活跃并被我们快速制止并披露 [1] ,在2023年全年新海莲花组织展示出于以往完全不同的技战术,进攻水平也比之前提升很多,该组织使用多个 0day 漏洞针对我国军工、能源、航空等领域开展间谍活动,意图窃取我国能源和军工领域在中东、中亚、非洲、东亚的部署情况。 本文仅作为安全研究,我们不关注初始样本载荷,主要披露新海莲花组织内存插件和间谍目的,天擎EDR可以在内存中精准告警新海莲花组织所有内存插件,我们建议政企客户启用云查功能来发现未知威胁。 内存技战术 新海莲花组织通过终端软件 0day 漏洞向内网特定终端下发恶意更新,实现供应链攻击。在目前国内错综复杂的安全产品生态下,这种攻击模式是所有 APT 组织的最优解,并不是海莲花组
………………………………
