最近,有报道称越南国家支持的黑客组织APT32(海莲花),在2018年2月至2020年11月之间针对越南的人权捍卫者(HRD)通过间谍软件进行了攻击。
此外,根据 Amnesty安全实验室透露,该黑客组织还针对一个越南人权非营利组织(NPO)发起了攻击。
海莲花组织黑客利用间谍软件在受感染的系统上读写文档、启动恶意工具及程序来监视受害者的活动。
Amnesty研究员称,海莲花的这次袭击凸显了越南维护人权的积极分子在给国内外受到的压力,并且表示越南政府应该立即对此进行独立调查,否则会引起人们对政府立场的怀疑。
这次的攻击活动并不是突然而然,而是过去15年来持续不断的攻击活动的一部分,该活动的重点是跟踪和监视来自越南境内和境外的越南人权捍卫者(HRD)、博客和非营利组织。
此次“间谍软件攻击活动”针对了民主运动人士Bui Thanh Hieu、越南海外赋权倡议组织(VOICE)和一名未公开的越南博客作者。
研究人员表示,在2018年2月至2020年11月之间,VOICE和两位博主都收到了包含间谍软件的电子邮件,并且最后的有效载荷通过海莲花的Kerrdown下载器安装在了受害者的Windows电脑中。同时,攻击者下载并部署了Cobalt Strike信标,以获取对受感染系统的持久远程访问。
对于使用Mac的受害者,黑客使用了TrendMicro在以前对越南目标进行攻击时发现的MacOS后门,这是一种能够使攻击者下载、上传和执行任意文件和命令的恶意软件。
海莲花的真实身份
APT32(又称OceanLotus, SeaLotus)是越南支持的APT组织,以针对在多个越南工业领域、越南人权组合和活动者以及全球研究机构和媒体组织中投资的外国公司而闻名。
最近,该组织试图通过针对中国应急管理部和武汉市政府的鱼叉式网络钓鱼攻击来收集有关COVID-19危机的情报。
FireEye称该组织“符合越南国家利益”,针对记者和越南侨民具有威胁性的自由言论和政治活动精选定向攻击。
Facebook安全团队在2020年12月公开了该组织的真实身份,当时他们与越南IT公司CyberOne Group公司有关联。