越南駭客OceanLotus發動供應鏈攻擊，鎖定投資人散布SpectralViper後門

OceanLotus為一現身於2012年的網路間諜組織，外界普遍認為其活動與越南政府利益相關，過去主要以中國及東南亞國家為目標，攻擊對象涵蓋企業、人權倡議人士及政府機構。然而，ESET發現，過去多次被揭露從事跨國網路間諜活動的OceanLotus在這兩年將重心移至越南國內，針對境內的基礎建設、交通工程公司及股票投資人發動攻擊。

FireAnt Metakit為越南金融科技公司FireAnt所推出的股市行情資料工具，可將即時與歷史市場資料傳送至AmiBroker、MetaStock等技術分析軟體。OceanLotus入侵了FireAnt Metakit更新伺服器，並以惡意程式取代合法更新檔案，在使用者下載更新時，於電腦中安裝SpectralViper後門。

研究人員指出，駭客利用了FireAnt Metakit更新機制中的多項安全缺陷，包括該軟體更新設定檔缺乏數位簽章或完整性驗證機制，無法確認下載檔案是否遭竄改；而且更新過程仍使用未加密的HTTP通訊，而非HTTPS。

至於SpectralViper是OceanLotus自行開發的後門程式，可與C&C伺服器通訊，回傳受害電腦資訊，接收遠端指令，也具備載入其他程式、程序注入與橫向移動能力。

ESET表示，雖然FireAnt Metakit是廣泛使用的投資工具，理論上可能影響大量投資人，但他們實際只觀察到少數最終收到並執行SpectralViper後門的受害者，因此判斷OceanLotus並不是無差別散布，而是在供應鏈感染後再篩選目標。

除了FireAnt之外，ESET還發現OceanLotus亦長期入侵當地一家基礎建設及交通工程公司，可能是藉由Microsoft SQL Server遠端程式碼執行漏洞取得初始存取權限，並於企業網路內部署多個SpectralViper變種。