Группа киберпреступников OceanLotus совершенствует инструментарий

Компания ESET — эксперт в области информационной безопасности — обнаружила новую вредоносную активность группы киберпреступников OceanLotus. В частности, в новых кампаниях злоумышленники используют уязвимость в программном обеспечении Microsoft Office. Кроме этого, для распространения бэкдора и заражения своих жертв группа OceanLotus применяет ряд различных методов и техник.

Например, с целью заманивания потенциальных жертв запускать вредоносную программу киберпреступники создают документы-приманки. Для введения в заблуждение пользователей злоумышленники используют файлы с двойным расширением, самораспаковывающиеся архивы, документы с поддержкой макросов, а также эксплойты.

В частности, в середине 2018 OceanLotus осуществила кампанию по распространению вредоносных документов, использующих уязвимость CVE-2017-11882. Таким образом группа остается достаточно активной и постоянно продолжает атаковать страны Юго-Восточной Азии.

Кроме этого, OceanLotus продолжает совершенствовать собственные методы для усложнения выявления вредоносной программы продуктами безопасности. Согласно исследованию специалистов ESET, операторы угрозы задействуют многие операции в памяти устройства, случайно генерируют имена файлов и модифицируют собственные двоичные файлы для избежания обнаружения.

Специалисты ESET фиксируют активность киберпреступников OceanLotus.

Как видим, OceanLotus до сих пор остается активной и продолжает расширять свой инструментарий. Группа действительно фокусируется на изменении наборов инструментов и приманок. Она маскирует свои вредоносные компоненты под документы-приманки с информацией о текущих событиях, которые, вероятно, будут интересны для жертв. Кроме этого, группа продолжает разрабатывать различные техники и даже повторно использовать общедоступный код эксплойта.

Более подробную информацию об угрозе или идентификаторы компрометации можно найти по ссылке.