警惕釣魚郵件,海蓮花組織攻擊越南人權捍衛者
最近,有報道稱越南國家支持的黑客組織APT32(海蓮花),在2018年2月至2020年11月之間針對越南的人權捍衛者(HRD)通過間諜軟件進行了攻擊。
此外,根據 Amnesty安全實驗室透露,該黑客組織還針對一個越南人權非營利組織(NPO)發起了攻擊。
海蓮花組織黑客利用間諜軟件在受感染的系統上讀寫文檔、啟動惡意工具及程序來監視受害者的活動。
Amnesty研究員稱,海蓮花的這次襲擊凸顯了越南維護人權的積極分子在給國內外受到的壓力,并且表示越南政府應該立即對此進行獨立調查,否則會引起人們對政府立場的懷疑。
這次的攻擊活動并不是突然而然,而是過去15年來持續不斷的攻擊活動的一部分,該活動的重點是跟蹤和監視來自越南境內和境外的越南人權捍衛者(HRD)、博客和非營利組織。
此次“間諜軟件攻擊活動”針對了民主運動人士Bui Thanh Hieu、越南海外賦權倡議組織(VOICE)和一名未公開的越南博客作者。
研究人員表示,在2018年2月至2020年11月之間,VOICE和兩位博主都收到了包含間諜軟件的電子郵件,并且最后的有效載荷通過海蓮花的Kerrdown下載器安裝在了受害者的Windows電腦中。同時,攻擊者下載并部署了Cobalt Strike信標,以獲取對受感染系統的持久遠程訪問。
對于使用Mac的受害者,黑客使用了TrendMicro在以前對越南目標進行攻擊時發現的MacOS后門,這是一種能夠使攻擊者下載、上傳和執行任意文件和命令的惡意軟件。
海蓮花的真實身份
APT32(又稱OceanLotus, SeaLotus)是越南支持的APT組織,以針對在多個越南工業領域、越南人權組合和活動者以及全球研究機構和媒體組織中投資的外國公司而聞名。
最近,該組織試圖通過針對中國應急管理部和武漢市政府的魚叉式網絡釣魚攻擊來收集有關COVID-19危機的情報。
FireEye稱該組織“符合越南國家利益”,針對記者和越南僑民具有威脅性的自由言論和政治活動精選定向攻擊。
Facebook安全團隊在2020年12月公開了該組織的真實身份,當時他們與越南IT公司CyberOne Group公司有關聯。
