主要观点总结
本文主要介绍了新海莲花组织的技术特点、攻击手段、目的等信息,包括其使用多个0day漏洞针对特定领域开展间谍活动,内存技战术,以及针对安全产品的对抗方式等。同时,文章还提到了老海莲花继承攻击资源发起的新一波供应链事件,以及APT组织融入国内黑灰产上下游的现象。最后,文章总结了针对此类攻击的精准检测方法。
关键观点总结
关键观点1: 新海莲花组织的技术特点
新海莲花组织通过终端软件0day漏洞向内网特定终端下发恶意更新,实现供应链攻击。该组织在内存中精准告警所有内存插件,使用Cobalt Strike等工具有特定的特征,如屏幕截图并发送到C2服务器。此外,该组织还使用了多种插件如文件名收集插件、管道特马、ssh登录插件等。
关键观点2: 新海莲花组织的攻击目的
新海莲花组织的攻击目的似乎是为了窃取我国能源和军工领域在中东、中亚、非洲、东亚的部署情况。该组织的攻击行为可能服务于东南亚国家的情报服务,同时也不排除其他域外大国的可能性。
关键观点3: APT组织的融合与对抗方式
APT组织已经深度融入国内黑灰产上下游中,通过购买国内VPS服务器作为代理和C2。老海莲花继承了新海莲花的攻击资源,并通过一些渠道购买国内VPS来发起新的供应链事件。这些APT组织对安全产品也有一定的对抗方式,如针对360安全卫士和天擎EDR的对抗手段。
关键观点4: 精准检测方法
基于奇安信威胁情报中心的威胁情报数据的全线产品已经支持对此类攻击的精确检测,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统等产品。
免责声明
免责声明:本文内容摘要由平台算法生成,仅为信息导航参考,不代表原文立场或观点。
原文内容版权归原作者所有,如您为原作者并希望删除该摘要或链接,请通过
【版权申诉通道】联系我们处理。
