最近，有報道稱越南國家支持的黑客組織APT32(海蓮花)，在2018年2月至2020年11月之間針對越南的人權(quán)捍衛(wèi)者(HRD)通過間諜軟件進(jìn)行了攻擊。

此外，根據(jù) Amnesty安全實驗室透露，該黑客組織還針對一個越南人權(quán)非營利組織(NPO)發(fā)起了攻擊。

[[383378]]

海蓮花組織黑客利用間諜軟件在受感染的系統(tǒng)上讀寫文檔、啟動惡意工具及程序來監(jiān)視受害者的活動。

Amnesty研究員稱，海蓮花的這次襲擊凸顯了越南維護(hù)人權(quán)的積極分子在給國內(nèi)外受到的壓力，并且表示越南政府應(yīng)該立即對此進(jìn)行獨立調(diào)查，否則會引起人們對政府立場的懷疑。

這次的攻擊活動并不是突然而然，而是過去15年來持續(xù)不斷的攻擊活動的一部分，該活動的重點是跟蹤和監(jiān)視來自越南境內(nèi)和境外的越南人權(quán)捍衛(wèi)者(HRD)、博客和非營利組織。

此次“間諜軟件攻擊活動”針對了民主運(yùn)動人士Bui Thanh Hieu、越南海外賦權(quán)倡議組織(VOICE)和一名未公開的越南博客作者。

研究人員表示，在2018年2月至2020年11月之間，VOICE和兩位博主都收到了包含間諜軟件的電子郵件，并且最后的有效載荷通過海蓮花的Kerrdown下載器安裝在了受害者的Windows電腦中。同時，攻擊者下載并部署了Cobalt Strike信標(biāo)，以獲取對受感染系統(tǒng)的持久遠(yuǎn)程訪問。

對于使用Mac的受害者，黑客使用了TrendMicro在以前對越南目標(biāo)進(jìn)行攻擊時發(fā)現(xiàn)的MacOS后門，這是一種能夠使攻擊者下載、上傳和執(zhí)行任意文件和命令的惡意軟件。

海蓮花的真實身份

APT32(又稱OceanLotus, SeaLotus)是越南支持的APT組織，以針對在多個越南工業(yè)領(lǐng)域、越南人權(quán)組合和活動者以及全球研究機(jī)構(gòu)和媒體組織中投資的外國公司而聞名。

最近，該組織試圖通過針對中國應(yīng)急管理部和武漢市政府的魚叉式網(wǎng)絡(luò)釣魚攻擊來收集有關(guān)COVID-19危機(jī)的情報。

FireEye稱該組織“符合越南國家利益”，針對記者和越南僑民具有威脅性的自由言論和政治活動精選定向攻擊。

Facebook安全團(tuán)隊在2020年12月公開了該組織的真實身份，當(dāng)時他們與越南IT公司CyberOne Group公司有關(guān)聯(lián)。

來源：bleepingcomputer