海莲花（OceanLotus）是高度组织化的、专业化境外国家级黑客组织。

来自Facebook的网络安全研究人员今天在APT32滥用其平台来入侵人们的账户并分发恶意软件后，正式将APT32的活动与越南国的一家IT公司联系起来。

追踪APT32（或Bismuth，OceanLotus和Cobalt Kitty）发现其隶属于越南政府，与国家结盟的特工，以自2012年以来就策划复杂的网络间谍活动而闻名，目标是与该国的战略利益保持高度一致。

Facebook的安全政策主管Nathaniel Gleicher和网络威胁情报经理说：“我们的调查将这项活动与越南的一家IT公司CyberOne集团（也称为CyberOne安全，CyberOne技术，汉廷有限公司，Planet和Diacauso）联系在一起。”

并未公开导致Facebook将黑客活动归因于CyberOne Group的确切证据线索，但根据ITViec（越南在线平台，为IT专业人员和软件开发人员寻找和发布职位空缺）的描述，该公司宣传自己为“跨国公司”，重点开发“确保组织和企业的IT系统安全的产品和服务”。

正如路透社先前报道的那样，其网站似乎已离线。但是，Internet档案馆在12月9日捕获的快照显示，该公司一直在积极寻求聘用精通Linux，C，C ++和.NET的渗透测试人员，网络威胁猎人和恶意软件分析师。CyberOne在给路透社的一份声明中则否认是OceanLotus集团。

APT32的悠久攻击历史‍

Facebook揭露APT32的面纱是在Volexity披露了通过多个假网站和Facebook页面发起的多个攻击活动几个月后，APT32将访问者重定向到钓鱼页面以及分发适用于Windows和macOS的恶意软件有效载荷。

此外，ESET报告于2019年12月通过社交媒体平台传播类似的操作，使用包含指向Dropbox上托管的恶意存档的链接的帖子和直接消息。该组织以不断发展的工具集和诱饵而闻名，包括使用诱饵文件和水坑攻击来诱使潜在受害者执行能够窃取敏感信息的功能齐全的后门。

去年年初，为支持该国的汽车制造，OceanLotus积极瞄准跨国汽车公司进行攻击而声名狼藉。在COVID-19大流行期间，APT32对包括应急管理部在内的中国目标发起入侵运动，用于收集有关COVID-19危机的情报。

上个月，趋势科技研究人员发现了一个利用新的macOS后门的新活动，攻击者可以窥探并从受感染的计算机中窃取机密信息和敏感的商业文档。

两周前，微软详细介绍了OceanLotus的一种策略，涉及使用货币矿工技术来监视和建立受害者系统的持久性，造成财务动机的犯罪与情报收集操作区分变得更加困难。

通过Facebook进行社会工程‍

现在，根据Facebook的说法，APT32创建虚构的角色，冒充活动家和商业实体，利用浪漫的诱饵诱使用户通过Google Play商店下载恶意Android应用程序，获取广泛的权限，用于广泛监视人们的设备。

研究人员说：“我们调查发现，最新破坏活动的特点是，资源充足且持续不断，着眼于多个目标，同时掩盖其源头。为中断此操作，我们阻止了相关内容在我们平台上的发布，删除了该组的账户，并通知我们认为APT32成为目标的人员。”

AMNESIA：33 又一组严重的TCP / IP漏洞影响数百万个IoT设备

Facebook摊上大事！美国48个州和贸易委员会（FTC）反垄断起诉

世界最大网络安全公司之一的FireEye被黑，红队渗透工具被盗