近日，有安全机构监测到，境外APT组织“海莲花”针对我国国家机关单位发动攻击。
研究人员观察到，攻击活动从6月开始，时间长达2个月。攻击者针对关基单位负责重点课题的研究员发起APT定向攻击，瞄准文档类资料进行窃取，以窃取机密资料和重要文件为目标。如攻击者窃取成功，将对国家造成严重损失。
目前国内某核心制造业厂商受到攻击，已成功妥善处理，进行了有效阻断。因此，重点单位应提高警惕，及时发现异常情况，采取必要防护措施。
海莲花（OceanLotus、APT32）APT 团伙是一个高度组织化的、专业化的境外国家级黑客组织，其最早由国内安全厂商发现并披露。该组织至少自 2012 年 4月起便针对周边地区国家政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
经过公开报告的披露信息与历次参与取证溯源事件的结果也表明海莲花组织依然是在东南亚地区最为活跃的 APT 组织，其在 2021 年依然保持较高的活动频率。该组织的攻击包括网络间谍活动和商业情报窃取，同时该组织在近年来还被观察到在受害者主机上部署矿机程序，进行门罗币挖矿。此外，海莲花组织还具备发起供应链攻击的能力，并且能在入侵和横向移动过程中使用 0day 或 Nday 漏洞。
经分析，海莲花组织的攻击方式多样，攻击链条复杂，但使用的核心攻击技术与最终木马载荷较为固定。利用邮件进行的鱼叉攻击、社工攻击、水坑攻击仍然是海莲花组织初始入侵手段。
“海莲花”的攻击方式之一就是利用电子邮件或其他传输媒介，向受害者投递恶意程序。一旦被植入恶意程序，攻击者便可完全控制失陷主机。攻击者入侵成功后，可窃取生产资料、设计图纸、技术参数等相关的机密信息，或造成我国工业核心技术的泄露。