ESET виявила нову шкідливу активність відомої групи хакерів OceanLotus

Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про нову шкідливу активність групи кіберзлочинців OceanLotus, що також відома як APT32 або APT C-00. За даними дослідження спеціалістів ESET, на додаток до вже відомих методів інфікування, хакери тепер використовують ще й новий бекдор.

Група OceanLotus, як правило, націлюється на компанії та урядові мережі в країнах Східної Азії, зокрема, у В'єтнамі, Філіппінах, Лаосі та Камбоджі. Наприклад, у минулому році в рамках операції «Cobalt Kitty» кіберзлочинці атакували керівництво глобальної корпорації, розташованої в Азії, з метою викрадення комерційної інформації компанії.

Відповідно до даних нового дослідження, група використовує декілька методів для заманювання жертв запускати шкідливі завантажувачі, зокрема подвійне розширення та підроблені піктограми додатків (наприклад, Word, PDF тощо). Документи-приманки, ймовірно, прикріплені до повідомлень електронної пошти, хоча спеціалісти ESET також зафіксували використання фальшивих інсталяторів та шкідливих оновлень програмного забезпечення для поширення бекдора. Щоб запустити повнофункціональний бекдор, кіберзлочинці використовують багаторівневі операції в оперативній пам’яті та метод стороннього завантаження.

 «Група Ocean Lotus намагається залишатися невидимою в системі, ретельно підбираючи власні цілі, однак дослідження ESET показало справжній масштаб діяльності кіберзлочинців», —розповідають спеціалісти ESET.

Група обмежує поширення власного шкідливого програмного забезпечення та використовує кілька різних серверів, щоб уникнути привернення уваги до одного домену або IP-адреси. За допомогою шифрування компоненту та його поєднання з методом стороннього завантаження, шкідлива діяльність OceanLotus може залишатися непоміченою в системі.

Хоча групі вдається приховувати власну активність, спеціалісти ESET все ж змогли розкрити деталі поточної діяльності групи. «За допомогою сервісу ESET Threat Intelligence вдалося отримати переконливе підтвердження, що група постійно працює над оновленням свого набору інструментів та продовжує активно займатися шкідливою діяльністю», — розповідають дослідники ESET.