中国骇客针对邻近国家的政府机关、制造业、电信业者下手的情况,近期频频有资安事故传出,且有不少攻击目标涵盖台湾而引起关注。
研究人员不清楚骇客如何入侵受害组织,但他们发现,这些骇客在成功进入受害组织的网路环境后,就会下达一系列的命令,收集使用者帐号资讯、资料夹架构、处理程序活动、网路组态等资料。
若是设置在隔离网路的电脑也可能无法幸免于难,因为Lotus Blossom也不会放过这些设备,会透过受害电脑连接的代理伺服器组态,或是使用的代理伺服器工具Venom,试图透过能存取网际网路的系统建立对外连线。
接著,这些骇客会利用WMI,在受害组织的网路环境进行横向移动,然后利用系统登录档部署Sagerunex,此后门程式将以系统服务执行。附带一提,骇客滥用软体保护工具VMProtect将该后门程式的程式码进行混淆,目的是为了回避防毒软体的侦测。