Компания ESET — эксперт в области информационной безопасности — обнаружила новую вредоносную активность группы киберпреступников OceanLotus. В частности, в новых кампаниях злоумышленники используют уязвимость в программном обеспечении Microsoft Office. Кроме этого, для распространения бэкдора и заражения своих жертв группа OceanLotus применяет ряд различных методов и техник.
Например, с целью заманивания потенциальных жертв запускать вредоносную программу киберпреступники создают документы-приманки. Для введения в заблуждение пользователей злоумышленники используют файлы с двойным расширением, самораспаковывающиеся архивы, документы с поддержкой макросов, а также эксплойты.
В частности, в середине 2018 OceanLotus осуществила кампанию по распространению вредоносных документов, использующих уязвимость CVE-2017-11882. Таким образом группа остается достаточно активной и постоянно продолжает атаковать страны Юго-Восточной Азии.
Кроме этого, OceanLotus продолжает совершенствовать собственные методы для усложнения выявления вредоносной программы продуктами безопасности. Согласно исследованию специалистов ESET, операторы угрозы задействуют многие операции в памяти устройства, случайно генерируют имена файлов и модифицируют собственные двоичные файлы для избежания обнаружения.
Как видим, OceanLotus до сих пор остается активной и продолжает расширять свой инструментарий. Группа действительно фокусируется на изменении наборов инструментов и приманок. Она маскирует свои вредоносные компоненты под документы-приманки с информацией о текущих событиях, которые, вероятно, будут интересны для жертв. Кроме этого, группа продолжает разрабатывать различные техники и даже повторно использовать общедоступный код эксплойта.
Более подробную информацию об угрозе или идентификаторы компрометации можно найти по ссылке.