up_icon
Internet Security

OceanLotus: Η νέα μεγάλη απειλή από την Ασία

14 Μαρτίου 2018 Yannis Elpidis

OceanLotus: Η νέα μεγάλη απειλή από την Ασία

Αναλύοντας τη δράση της ομάδας hacking OceanLotus, γνωστή για τις κακόβουλες εκστρατείες της εναντίον στόχων στην Ανατολική Ασία, οι ερευνητές της ESET οδηγήθηκαν στην αποκάλυψη μίας πρόσφατης δραστηριότητας της περιβόητης ομάδας.

Η έρευνα της ESET για τη συγκεκριμένη ομάδα, γνωστή και ως APT32 ή APT C-00, έδειχνε ότι τα μέλη της χρησιμοποιούσαν τα ίδια τεχνάσματα, ωστόσο πλέον έχει προστεθεί και ένα νέο backdoor στις δράσεις της. Σε σχετικό white paper της ESET αναφέρονται οι διάφορες μέθοδοι που χρησιμοποιούνται για να ξεγελάσουν το χρήστη ώστε να εκτελέσει το backdoor, και, παράλληλα, για να καθυστερήσουν την ανάλυσή του και να αποφύγουν την ανίχνευσή του.

Η ομάδα OceanLotus συνήθως επιτίθεται σε δίκτυα επιχειρήσεων και κυβερνητικών φορέων σε χώρες της Ανατολικής Ασίας, και κυρίως στο Βιετνάμ, τις Φιλιππίνες, το Λάος και την Καμπότζη. Κατά την περσινή εκστρατεία «Operation Cobalt Kitty», στόχο αποτέλεσαν τα μέλη ανώτατης διοικητικής ομάδας σε παγκόσμια εταιρία που εδρεύει στην Ασία, με στόχο την κλοπή εμπορικών πληροφοριών.

Σύμφωνα με τα αποτελέσματα της νέας αυτής έρευνας της ESET, η ομάδα χρησιμοποιεί διάφορες μεθόδους για να εξαπατά τα πιθανά θύματα ώστε να εκτελούν κακόβουλα droppers, όπως εφαρμογές double extension και fake icon (π.χ. Word, PDF κ.λπ.). Αυτά τα droppers πιθανά επισυνάπτονται σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, ωστόσο η ESET έχει εντοπίσει και πλαστά installers και software updates, τα οποία χρησιμοποιούνται για την εξάπλωση του ίδιου backdoor.

Στην πρόσφατη έρευνά της, η ESET παρουσιάζει τους τρόπους που χρησιμοποιεί το πρόσφατο αυτό backdoor της Oceanlotus για να εκτελέσει το κακόβουλο φορτίο του σε ένα σύστημα. Η διαδικασία εγκατάστασής του εξαρτάται σε μεγάλο βαθμό από ένα παραπλανητικό έγγραφο που αποστέλλεται σε ένα δυνητικά ενδιαφερόμενο παραλήπτη. Για να εκτελεστεί, ακολουθούνται διάφορα στάδια στα οποία γίνεται χρήση λειτουργιών από τη μνήμη του υπολογιστή, καθώς και μία τεχνική πλευρικής φόρτωσης.

Όπως σημειώνει ο Alexis Dorais-Joncas, Security Intelligence Team Lead της ESET,

"Οι δραστηριότητες της ομάδας OceanLotus αποδεικνύουν την πρόθεσή της να διατηρείται στην αφάνεια, επιλέγοντας προσεκτικά τους στόχους της, αλλά η έρευνα της ESET έφερε στο φως την πραγματική έκταση των σχεδίων της"

Η ομάδα hacking προσπαθεί να περιορίζει την εξάπλωση του κακόβουλου λογισμικού και χρησιμοποιεί αρκετούς διαφορετικούς server για να αποφύγει την προσέλκυση προσοχής σε έναν μόνο τομέα ή διεύθυνση IP. Κρυπτογραφώντας το κακόβουλο φορτίο και χρησιμοποιώντας την τεχνική της πλευρικής φόρτωσης, η OceanLotus μπορεί να κινείται αθόρυβα, πραγματοποιώντας κακόβουλες δραστηριότητες, οι οποίες φαίνεται να προέρχονται από αυθεντικές εφαρμογές.

Ενώ η ομάδα έχει καταφέρει να παραμείνει κρυμμένη, η έρευνα της ESET έχει αποκαλύψει τη συνεχιζόμενη δραστηριότητά της και τον τρόπο με τον οποίο καταφέρνει να φέρνει σε πέρας με επιτυχία τα σχέδια της.

Ο Romain Dumont, Malware Researcher της ESET, προσθέτει:

"Οι υπηρεσίες threat intelligence της ESET έχουν δώσει σημαντικά στοιχεία, που αποδεικνύουν ότι η συγκεκριμένη ομάδα ενημερώνει συνεχώς τα εργαλεία της και εξακολουθεί να εμφανίζει κακόβουλες δραστηριότητες"

Περισσότερες πληροφορίες για την έρευνα της ESET σχετικά με τη δραστηριότητα της OceanLotus, μπορείτε να βρείτε εδώ.

 

 

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

Η Google αναβαθμίζει τον Chrome browser για iOS συσκευές

24 Ιουνίου 2022 Christos Elpidis

Η Google ανακοίνωσε επίσημα ορισμένες από τις αναβαθμίσεις που θα φέρει η νέα έκδοση του Chrome browser για συσκευές iOS (iPhone και iPad), και σε αυτές συμπεριλαμβάνεται το Enhanced Safe Browsing που προσφέρει...

Twitter Notes: Η νέα λειτουργία στο Twitter για να δημοσιεύεις μεγάλα κείμενα

23 Ιουνίου 2022 Christos Elpidis

Εν μέσω των επερχόμενων «κοσμογονικών» αλλαγών λόγω της ενδεχόμενης εξαγοράς της από τον Elon Musk, η Twitter δεν σταματά να δοκιμάζει καινούργια πράγματα για το κοινωνικό δίκτυο της. Αυτή τη φορά, η εταιρεία ...

Google Password Manager: Προσφέρει πλέον on-device κρυπτογράφηση για μεγαλύτερη ασφάλεια

22 Ιουνίου 2022 Christos Elpidis

Μπορεί να συμμετέχει ενεργά και με ιδιαίτερο ζήλο στην κοινή προσπάθεια των μεγάλων εταιρειών για την εξάλειψη των passwords, αλλά μέχρι να φτάσουμε σε αυτό το σημείο έχουμε ακόμα αρκετό καιρό και γι ‘ αυτό η ...

Google News: Ριζικός επανασχεδιασμός για τη desktop έκδοση

22 Ιουνίου 2022 Christos Elpidis

Η υπηρεσία Google News κλείνει 20 χρόνια λειτουργίας φέτος και η Google προχωρά σε έναν ριζικό επανασχεδιασμό της desktop έκδοσης με σκοπό να φέρει στο προσκήνιο τις πιο σημαντικές ειδήσεις κοντά στην τοποθεσία...

Twitter: Το ΔΣ άναψε το πράσινο φως για την εξαγορά, αλλά υπάρχουν θέματα

22 Ιουνίου 2022 Christos Elpidis

Δεν πέρασαν παρά μόνο λίγες ώρες αφότου ο Elon Musk έδωσε τελεσίγραφο στο ΔΣ της Twitter απαιτώντας να τον ενημερώσουν για τον πραγματικό αριθμό των ψεύτικων λογαριασμών στην πλατφόρμα, καθώς η αρχική εκτίμηση ...

87 κρίσιμα τρωτά σημεία ανακαλύφθηκαν σε routers το 2021

17 Ιουνίου 2022 Techgear Team

Τα routers είναι απαραίτητα για συνδέσεις Wi-Fi, καθώς εκατομμύρια νέες συσκευές εγκαθίστανται καθημερινά σε σπίτια και χώρους εργασίας. Σύμφωνα με ανάλυση που πραγματοποιήθηκε από την Kaspersky, πάνω από 500 ...

Dark Web: Οι hackers δίνουν πρόσβαση στις υποδομές εταιρειών με μόλις $2000

15 Ιουνίου 2022 Techgear Team

Με την άνοδο του επιχειρηματικού μοντέλου του κυβερνοεγκλήματος as a service, οι πληροφορίες που είναι απαραίτητες για την οργάνωση μιας επίθεσης είναι περιζήτητες μεταξύ των εγκληματιών στον κυβερνοχώρο. Οι ...

Total Cookie Protection πλέον για όλους στον Firefox browser

15 Ιουνίου 2022 Christos Elpidis

Η Mozilla ισχυρίζεται πλέον ότι διαθέτει τον πιο ασφαλή web browser, καθώς ενεργοποιεί αυτόματα την λειτουργία Total Cookie Protection για όλους τους χρήστες της desktop έκδοσης (Windows, Mac, Linux) του ...

Google Chrome: Βάζει τέλος στα ενοχλητικά pop-ups των ιστοσελίδων

10 Ιουνίου 2022 Christos Elpidis

Η Google προσπαθεί να κόψει κάθε τι ενοχλητικό από την καθημερινότητα των χρηστών που επιλέγουν τον Chrome browser για την περιήγηση τους στο Internet και ανακοινώνει πως από την επόμενη έκδοση του δημοφιλούς ...

Πώς να αναγνωρίσετε και να προστατευτείτε από τα deepfakes

09 Ιουνίου 2022 Techgear Team

Πρόσφατα η Google απαγόρευσε τους deepfake αλγόριθμους από το Google Colaboratory, τη δωρεάν υπηρεσία υπολογιστών της με πρόσβαση σε GPU. Ο τεχνολογικός κολοσσός δεν είναι ο μόνος που ρυθμίζει τα deepfakes — ...

Loader
techgear_icon