海莲花APT组织利用隐写技术部署恶意后门

海莲花使用木马病毒攻陷、控制政府人员、外包商、行业专家等目标人群的电脑，意图获取受害者电脑中的机密资料，截获受害电脑与外界传递的情报，甚至操纵该电脑自动发送相关情报，从而达到掌握中方动向的目的。其攻击主要方式包括水坑攻击和鱼叉攻击。

就在上周，一些安全专家认为，海莲花组织可能已经利用多家丰田和雷克萨斯销售子公司的安全漏洞，导致大约310万名丰田客户的个人信息可能被泄露。

根据Cylance研究情报小组发布的报告，海莲花使用新的恶意软件加载程序来加载Denes后门版本，以及Remy后门的更新版本。

该组织使用的隐写算法似乎是专门为此目的而开发的，旨在隐藏PNG图像中的加密恶意软件有效负载，以尽可能减少被安全工具检测到的可能性。

用于编码恶意有效负载的PNG图像

Cylance的研究人员在2018年9月观察到两个在野的隐写加载程序，并发现虽然它们的一般结构不完全相同，但两者使用的有效负载提取程序是相同的。正如Cylance对两个恶意软件加载程序的分析所发现的那样，它们都使用旁加载（side-loaded）DLL和“Crypto ++库中用于有效负载解密的AES128操作”，详细功能比较如下表所示：

虽然这两个基于隐写技术的恶意软件加载程序用于在目标设备上部署后门，但威胁行为者还可以对其进行修改以分发其他恶意负载。shellcode和加载程序的复杂性表明该组织或将继续投资来开发定制黑客工具。后门加载过程始于对混淆的加载程序有效负载进行解码、解密，随后执行加载研究人员检测到的两个后门之一。

Cylance表示为了使安全研究人员对该恶意软件的分析工作尽可能繁琐，攻击者将后门DLL和C2通信DLL使用大量垃圾代码进行了严重的混淆，这大大增加了它们的大小，使静态分析和调试更加困难。

研究人员发现，C2通信模块用于借助HTTP / HTTPS通道与后门的C2服务器进行通信，它还具有内置的代理绕过功能。