前言

回顾一个23年 比较缺德 比较有意思的事情，”海莲花”组织在布控的IOT设备上，除了放置自己的远控武器外，还嵌入了外连地址为“APT29”组织关联资产的外连程序，意图迷惑分析人员的溯源方向。

写这篇文章时我又去看了看开源威胁情报，从微步的标签情况来看就有许多靓仔被误导了，不少关联资产一前一后的时间里被标记为两个团伙。

这是我写的最短一篇公众号文章，真轻松。

背景

“海莲花”也称 “APT32” 、 “OceanLotus” 等，不同机构组织对其命名不同，据信为越南政府背景黑客组织，是目前东南亚地区最活跃的APT组织之一。23年该组织的攻击活动覆盖我国军工、学术、科技、能源、医疗、高校和政府等行业机构，攻击面覆盖暴露在互联网上的WEB应用(OA、邮服等)和物联网设备等，例如:绿盟防火墙、深信服VPN等。

“APT29”也称 “Nobelium” 、 “CozyBear” ，据信为俄罗斯政府背景的APT组织。主要攻击目标覆盖欧洲、北美、亚洲等地区国家。

详情

经样本同源分析和关联资产分析确认为“海莲花”组织背景行为，提取到若干外连地址，其中除了“海莲花”组织远控武器的C&C地址外，恶意程序还主动外连了位于印度境内的IP 49.XX.XX.X5:443开放的https服务,从TLS1.2加密算法协商流程的“server hello”数据包中还原出证书。

再通过证书信息扩线，同源到一批IP开放HTTPS服务并且使用该证书，其中一部分IP在22年年初被披露为“APT29”的攻击基础设施，与SolarWinds供应链攻击、TEARDROP和RAINDROP恶意软件等攻击有关。但该通讯并无实际恶意行为，说明其伪造APT29组织的关联性。

如果没有获取到样本，仅靠通讯流量和开源威胁情报分析，就很容易被误导。

相信有第一次就有 N++ 次，以后溯源分析还得防着这手。

玩脏的？？？