“尊敬的专家:邀请您参加《金砖国家新工业革命伙伴关系专家研讨会》……”当你点开这封看似正规的邮件附件时,一场精心策划的网络入侵已悄然启动。
图:“海莲花”黑客组织使用的钓鱼邮件
瑞星威胁情报平台最新曝光:来自东南亚的黑客组织“海莲花”,正冒充“工信部国际经济技术合作中心”发送钓鱼邮件,专门对政府和教育行业的职员下手。“海莲花”把恶意程序藏在看似正常的“PDF文件”里,只要一点击,电脑就会被装上“隐形监控器”,所有机密信息都可能被偷偷传到境外!
图:“海莲花”黑客组织使用的诱饵文档
“海莲花”黑客组织:活跃13年的国家级威胁
“海莲花”(又名OceanLotus 、APT32)是一个具有东南亚国家背景的国家级黑客组织,从2012年起活跃至今。该组织长期将中国视为重点攻击目标,攻击范围覆盖政府机关、科研机构、高校及金融系统等几乎所有关键领域,持续进行情报窃取和网络间谍活动。
攻击手法揭秘:层层伪装,步步惊心
1. 冒充“官方”发邀请:伪造“工信部”名义发送“金砖国家研讨会”邮件,要求限期填写回执——利用公务紧迫感降低警惕。
2. 文件名称“玩障眼法”:附件伪装成 MIIT-CIETC-IIE-函.pdf... ,实际是带毒的快捷方式文件(.lnk),黑客在文件名中插入大量空格来增强欺骗性。
3. 后台偷偷装“监控软件”:一旦点击,电脑后台自动静默安装恶意程序,黑客会利用微软官方工具做掩护,神不知鬼不觉植入恶意程序。
4. 植入“永不消失的间谍”:恶意代码执行后,恶意程序会用假会议文档迷惑你,并安装自启动的后门;同时还偷偷潜伏下来,随时将电脑数据传往境外服务器。
图:攻击流程图
攻击危害:沦为境外间谍工具
一旦电脑中招,后果极其严重:
l 涉密资料、科研成果等机密文件、账号密码被一扫而空;
l 黑客可完全远程操控电脑;
l 木马长期潜伏,随时窃取新数据;
l 更可怕的是,你的电脑可能成为黑客入侵整个单位内网的“跳板”
专家警示:威胁升级,防范刻不容缓
瑞星安全专家提醒,这类攻击就像网络里的"间谍战",黑客越来越狡猾,将高迷惑性的社会工程学与复杂技术深度结合,形成极其隐蔽且危害巨大的攻击链。政府、高校、科研等涉密机构必须:
图:瑞星EDR可视化展示攻击流程
l 提升网络安全防护等级。
l 加强人员安全意识培训,警惕陌生邮件附件。
l 部署有效安全软件和EDR、NDR类产品。
l 及时修补系统补丁和重要软件的补丁。
