ESET обнаружила новую вредоносную активность известной группы хакеров OceanLotus

Компания ESET — лидер в области информационной безопасности — предупреждает о новой вредоносной активности группы киберпреступников OceanLotus, которая также известна как APT32 или APT C-00. Согласно данным исследования специалистов ESET, в дополнение к уже известным методам заражения, хакеры теперь используют еще и новый бэкдор.

Группа OceanLotus, как правило, нацеливается на компании и правительственные сети в странах Восточной Азии, в частности, во Вьетнаме, Филиппинах, Лаосе и Камбодже. Например, в прошлом году в рамках операции «Cobalt Kitty» киберпреступники атаковали руководство глобальной корпорации, расположенной в Азии, с целью похищения коммерческой информации компании.

Согласно данным нового исследования, группа использует несколько методов для заманивания жертв запускать вредоносные загрузчики, в частности двойное расширение и поддельные пиктограммы приложений (например, Word, PDF и т.д.). Документы-приманки, вероятно, прикреплены к сообщениям электронной почты, хотя специалисты ESET также зафиксировали использование фальшивых инсталляторов и вредоносных обновлений программного обеспечения для распространения бэкдора. Чтобы запустить полнофункциональный бэкдор, киберпреступники используют многоуровневые операции в оперативной памяти и метод сторонней загрузки.

 «Группа Ocean Lotus пытается оставаться невидимой в системе, тщательно подбирая собственные цели, однако исследования ESET показало истинный масштаб деятельности киберпреступников», — рассказывают специалисты ESET.

Группа ограничивает распространение собственного вредоносного программного обеспечения и использует несколько различных серверов, чтобы избежать привлечения внимания к одному домену или IP-адресу. С помощью шифрования компонента и его сочетания с методом сторонней загрузки, вредоносная деятельность OceanLotus может оставаться незамеченной в системе.

Хотя группе удается скрывать свою активность, специалисты ESET все же смогли раскрыть детали текущей деятельности группы. «С помощью сервиса ESET Threat Intelligence удалось получить убедительное подтверждение, что группа постоянно работает над обновлением своего набора инструментов и продолжает активно заниматься вредоносной деятельностью», —рассказывают исследователи ESET.