Компанія ESET — експерт у галузі інформаційної безпеки — повідомляє про виявлення нової кампанії атак типу «watering hole», націлених на певні веб-сайти у Південно-Східній Азії. Дані атаки вважаються активними з вересня 2018 року.
Виявлена кампанія виділяється завдяки своїм значним масштабам діяльності. Спеціалістами ESET було виявлено 21 інфікований веб-сайт, у тому числі ресурси Міністерства оборони Камбоджі, Міністерства закордонних справ та міжнародного співробітництва Камбоджі, а також кілька в'єтнамських газет та блогів. Після ретельного аналізу можна впевнено стверджувати, що цією кампанією керує група OceanLotus, також відома як APT32 і APT-C-00. OceanLotus є шпигунською групою, яка діє з 2012 року та націлена на іноземні уряди та дисидентів. Вважається, що ця кампанія є еволюцією того, що дослідники Volexity називають OceanLotus Framework B — схемою атаки «watering hole», яку вони задокументували у 2017 році. Але цього разу кіберзлочинці розробили нову версію атаки, яка ускладнює та сповільнює виявлення їх зловмисних дій через використання криптографії ключів для шифрування подальших повідомлень. Щоб приховати свої небезпечні повідомлення, зловмисники перейшли з HTTP на WebSocket.
Як правило, атаки «watering hole» направлені на веб-сайти, які регулярно відвідуються потенційними цілями. Проте в цій атаці OceanLotus під загрозою були також веб-сайти, які залучають велику кількість відвідувачів.
Для уникнення викриття під час здійснення даної кібератаки зловмисники вживають такі заходи:
- Маскують скрипти, щоб запобігти вилученню оригінальної URL-адреси.
- URL має вигляд справжньої бібліотеки JavaScript, яка використовується веб-сайтом.
- Скрипти відрізняються для кожного інфікованого веб-сайту.
На кожному комп'ютері є два унікальні ідентифікатори під назвами client_zuuid та client_uuid. Вони використовуються для ідентифікації користувачів та їх відстеження під час відвідування веб-ресурсів. Як відомо за дослідженнями Volexity, користувачам відображається спливаюче вікно з проханням схвалити доступ до облікового запису Google для програми OceanLotus. Таким чином зловмисники отримують доступ до контактів та пошти жертви.
Оператори OceanLotus здійснюють інфікування веб-сайтів у два етапи для того, щоб бути максимально прихованими, маскуючись під легітимні веб-ресурси. Кількість використаних адрес на підробні сайти та схожість з легітимними веб-ресурсами ускладнює їх виявлення, зважаючи на великий об’єм інформації в мережі Інтернет.
Експерти ESET продовжують досліджувати загрозу, але група OceanLotus все ще залишається активною та атакує об'єкти в Південно-Східній Азії. Кіберзлочинці регулярно оновлюють свої інструменти в системі «watering hole» та в шкідливих програмах для Windows і MacOS. Для обмеження кількості потерпілих спеціалісти ESET повідомили власників інфікованих веб-сайтів та пояснили, як видалити зловмисний код JavaScript.
Більш детальна інформація про загрозу доступна за посиланням.