安全公司 ESET 发布分析报告称 OceanLotus APT 组织（“ 海莲花 ”，也被称为 APT32 和 APT- c -00） 在其最近的攻击活动中使用了新的后门，旨在获得远程访问以及对受感染系统的完全控制权。

目前来看，OceanLotus 的攻击分两个阶段进行，第一阶段黑客利用一个通过鱼叉式钓鱼信息传递的 dropper 来获得目标系统的初始据点，第二个阶段是其恶意代码为部署后门做好准备。

dropper 部分有以上执行流程

后门有以上执行流程

目前 OceanLotus 会在其攻击活动中不断更新工具集，这显示了该组织通过选择目标保持隐藏的意图。此外，OceanLotus 也限制其恶意软件的分发以及使用多个不同的服务器来避免将注意力吸引到单个域名或 IP 地址。

关于海莲花

OceanLotus 组织自 2013 年起至今一直保持活跃状态，据有关专家介绍，该组织是一个与越南有关的国家资助的黑客组织，其中大部分分布在越南、菲律宾、老挝和柬埔寨。根据调查，OceanLotus 除了针对多个行业的组织之外，也针对外国政府、持不同政见人士和记者。

ESET 分析报告：https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf

原文：http://securityaffairs.co/wordpress/70253/apt/oceanlotus-apt-backdoor.html