Компанія ESET — експерт у галузі інформаційної безпеки — виявила нову шкідливу активність групи кіберзлочинців OceanLotus. Зокрема у нових кампаніях зловмисники використовують уразливість у програмному забезпеченні Microsoft Office. Крім цього, для поширення бекдору та інфікування своїх жертв група OceanLotus застосовує ряд різноманітних методів та технік.
Наприклад, з метою заманювання потенційних жертв запускати шкідливу програму кіберзлочинці створюють документи-приманки. Для введення в оману користувачів зловмисники використовують файли з подвійним розширенням, архіви, що саморозпаковуються, документи з підтримкою макросів, а також експлойти.
Зокрема у середині 2018 року OceanLotus здійснила кампанію із поширення шкідливих документів, які використовують уразливість CVE-2017-11882. Таким чином група залишається достатньо активною і невпинно продовжує атакувати країни Південно-Східної Азії.
Крім цього, OceanLotus продовжує вдосконалювати власні методи для складності виявлення шкідливої програми продуктами з безпеки. Відповідно до дослідження спеціалістів ESET, оператори загрози задіюють багато операцій в пам’яті пристрою, випадково генерують імена файлів та модифікують власні двійкові файли для уникнення виявлення.
Як бачимо, OceanLotus до цього часу залишається активною і продовжує розширювати власний інструментарій. Група дійсно фокусується на зміні наборів інструментів і приманок. Вона спритно маскує свої шкідливі компоненти під документи-приманки з інформацією про поточні події, які, ймовірно, будуть цікаві для жертв. Крім цього, група продовжує розробляти різні техніки і навіть повторно використовувати загальнодоступний код експлойта.
Детальнішу інформацію про загрозу або ідентифікатори компроментації можна знайти за посиланням.