Η ESET αποκαλύπτει δραστηριότητες της ομάδας hacking OceanLotus

by George Polyzos • On 18-03-2018 • AT 2:00 pm • ΚΑΝΕΝΑ ΣΧΟΛΙΟ
Internet

Αναλύοντας τη δράση της ομάδας hacking OceanLotus, γνωστή για τις κακόβουλες εκστρατείες στην Ανατολική Ασία, οι ερευνητές της ESET οδηγήθηκαν στην αποκάλυψη μίας πρόσφατης δραστηριότητας της περιβόητης ομάδας.

Η έρευνα της ESET για τη συγκεκριμένη ομάδα, γνωστή και ως APT32 ή APT C-00, έδειχνε ότι τα μέλη της χρησιμοποιούσαν τα ίδια τεχνάσματα, ωστόσο πλέον έχει προστεθεί και ένα νέο backdoor στις δράσεις της. Σε σχετικό white paper της ESET αναφέρονται οι διάφορες μέθοδοι που χρησιμοποιούνται για να ξεγελάσουν το χρήστη ώστε να εκτελέσει το backdoor, και, παράλληλα, για να καθυστερήσουν την ανάλυσή του και να αποφύγουν την ανίχνευσή του.

Η ομάδα OceanLotus συνήθως επιτίθεται σε δίκτυα επιχειρήσεων και κυβερνητικών φορέων σε χώρες της Ανατολικής Ασίας, και κυρίως στο Βιετνάμ, τις Φιλιππίνες, το Λάος και την Καμπότζη. Κατά την περσινή εκστρατεία «Operation Cobalt Kitty», στόχο αποτέλεσαν τα μέλη ανώτατης διοικητικής ομάδας σε παγκόσμια εταιρία που εδρεύει στην Ασία, με στόχο την κλοπή εμπορικών πληροφοριών.

Σύμφωνα με τα αποτελέσματα της νέας αυτής έρευνας της ESET, η ομάδα χρησιμοποιεί διάφορες μεθόδους για να εξαπατά τα πιθανά θύματα ώστε να εκτελούν κακόβουλα droppers, όπως εφαρμογές double extension και fake icon (π.χ. Word, PDF κ.λπ.). Αυτά τα droppers πιθανά επισυνάπτονται σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, ωστόσο η ESET έχει εντοπίσει και πλαστά installers και software updates, τα οποία χρησιμοποιούνται για την εξάπλωση του ίδιου backdoor.

Στην πρόσφατη έρευνά της, η ESET παρουσιάζει τους τρόπους που χρησιμοποιεί το πρόσφατο αυτό backdoor της Oceanlotus για να εκτελέσει το κακόβουλο φορτίο του σε ένα σύστημα. Η διαδικασία εγκατάστασής του εξαρτάται σε μεγάλο βαθμό από ένα παραπλανητικό έγγραφο που αποστέλλεται σε ένα δυνητικά ενδιαφερόμενο παραλήπτη. Για να εκτελεστεί, ακολουθούνται διάφορα στάδια στα οποία γίνεται χρήση λειτουργιών από τη μνήμη του υπολογιστή, καθώς και μία τεχνική πλευρικής φόρτωσης.

Η ομάδα hacking προσπαθεί να περιορίζει την εξάπλωση του κακόβουλου λογισμικού και χρησιμοποιεί αρκετούς διαφορετικούς server για να αποφύγει την προσέλκυση προσοχής σε έναν μόνο τομέα ή διεύθυνση IP. Κρυπτογραφώντας το κακόβουλο φορτίο και χρησιμοποιώντας την τεχνική της πλευρικής φόρτωσης, η OceanLotus μπορεί να κινείται αθόρυβα, πραγματοποιώντας κακόβουλες δραστηριότητες, οι οποίες φαίνεται να προέρχονται από αυθεντικές εφαρμογές.

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

0 ΣΧΟΛΙΑ

ΠΕΣ ΤΗΝ ΓΝΩΜΗ ΣΟΥ

Your email address will not be published. Required fields are marked *

ΑΠΟΣΤΟΛΗ

Top

Show Buttons
Hide Buttons