5 [警惕境外APT组织在GitHub投毒攻击国内安全从业者和指定大企业]

该事件为东南亚APT组织“海莲花”利用GitHub发布带有木马的Cobalt Strike漏洞利用插件，针对网络安全人员发起的定向攻击。

1 摘要

• 近期网络流传网络安全从业人员使用的某提权工具被植入后门，造成了工具使用者的身份和数据泄露。经微步研判，该事件为东南亚APT组织“海莲花”利用GitHub发布带有木马的Cobalt Strike漏洞利用插件，针对网络安全人员发起的定向攻击。微步情报局已于2024年11月掌握该攻击事件，并已定位到攻击者Github账号。

• 攻击者在此次攻击中首次使用了向Visual Studio工程中投递恶意.suo文件的攻击手法，当受害者编译该Visual Studio工程时，木马会自动执行，攻击方式新颖且隐蔽。

• “海莲花”在近期多个事件中分别针对国内不同行业和人群发起定向攻击，并会定向攻击指定大型科技企业，首次攻击时间在2024年9月中旬至10月初，微步情报局已捕获多个可疑资产及木马文件。

• 微步通过对相关样本、IP 和域名的溯源分析，提取多条相关IOC，可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件的检测与防护。

2 事件概要

攻击目标	国内安全研究人员