OceanLotus: новая угроза атакует Юго-Восточную Азию

Компания ESET — эксперт в области информационной безопасности — сообщает об обнаружении новой кампании атак типа «watering hole», нацеленных на определенные веб-сайты в Юго-Восточной Азии. Данные атаки считаются активными с сентября 2018 года.

Обнаруженная кампания выделяется благодаря своим значительным масштабам деятельности. Специалистами ESET был обнаружен 21 инфицированный сайт, в том числе ресурсы Министерства обороны Камбоджи, Министерства иностранных дел и международного сотрудничества Камбоджи, а также несколько вьетнамских газет и блогов. После тщательного анализа можно уверенно утверждать, что этой кампанией руководит группа OceanLotus, также известная как APT32 и APT-C-00. OceanLotus является шпионской группой, которая действует с 2012 года и нацелена на иностранные правительства и диссидентов. Считается, что эта кампания является эволюцией того, что исследователи Volexity называют OceanLotus Framework B – схемой атаки «watering hole», которую они задокументировали в 2017 году. Но на этот раз киберпреступники разработали новую версию атаки, которая усложняет и замедляет выявления их вредоносных действий из-за использования криптографии ключей для шифрования дальнейших сообщений. Чтобы скрыть свои опасные сообщение, злоумышленники перешли с HTTP на WebSocket.

Как правило, атаки «watering hole» направлены на веб-сайты, которые регулярно посещаются потенциальными целями. Однако в этой атаке OceanLotus под угрозой были также веб-сайты, которые привлекают большое количество посетителей.

Во избежание разоблачения при осуществлении данной кибератаки злоумышленники используют следующие меры:

  • Маскируют скрипты, чтобы предотвратить изъятие оригинального URL-адреса.
  • URL имеет вид настоящей библиотеки JavaScript, которая используется сайтом.
  • Скрипты отличаются для каждого инфицированного сайта.

На каждом компьютере есть два уникальных идентификатора под названиями client_zuuid и client_uuid. Они используются для идентификации пользователей и их отслеживании во время посещения веб-ресурсов. Как известно согласно исследованиям Volexity, пользователям отображается всплывающее окно с просьбой одобрить доступ к учетной записи Google для программы OceanLotus. Таким образом злоумышленники получают доступ к контактам и почты жертвы.

Операторы OceanLotus осуществляют инфицирование веб-сайтов в два этапа для того, чтобы быть максимально скрытыми, маскируясь под легитимные веб-ресурсы. Количество адресов на поддельные сайты и сходство с легитимными веб-ресурсами затрудняет их обнаружение, принимая во внимание большой объем информации в сети Интернет.

Эксперты ESET продолжают исследовать угрозу, но группа OceanLotus все еще остается активной и атакует объекты в Юго-Восточной Азии. Киберпреступники регулярно обновляют свои инструменты в системе «watering hole» и во вредоносных программах для Windows и MacOS. Для ограничения количества пострадавших специалисты ESET проинформировали владельцев инфицированных веб-сайтов и объяснили, как удалить злонамеренный код JavaScript.

Более подробная информация об угрозе доступна по ссылке.