Αναλύοντας τη δράση της ομάδας hacking OceanLotus, γνωστή για τις κακόβουλες εκστρατείες της εναντίον στόχων στην Ανατολική Ασία, οι ερευνητές της ESET οδηγήθηκαν στην αποκάλυψη μίας πρόσφατης δραστηριότητας της περιβόητης ομάδας.
Η έρευνα της ESET για τη συγκεκριμένη ομάδα, γνωστή και ως APT32 ή APT C-00, έδειχνε ότι τα μέλη της χρησιμοποιούσαν τα ίδια τεχνάσματα, ωστόσο πλέον έχει προστεθεί και ένα νέο backdoor στις δράσεις της. Σε σχετικό white paper της ESET αναφέρονται οι διάφορες μέθοδοι που χρησιμοποιούνται για να ξεγελάσουν το χρήστη ώστε να εκτελέσει το backdoor, και, παράλληλα, για να καθυστερήσουν την ανάλυσή του και να αποφύγουν την ανίχνευσή του.
Η ομάδα OceanLotus συνήθως επιτίθεται σε δίκτυα επιχειρήσεων και κυβερνητικών φορέων σε χώρες της Ανατολικής Ασίας, και κυρίως στο Βιετνάμ, τις Φιλιππίνες, το Λάος και την Καμπότζη. Κατά την περσινή εκστρατεία «Operation Cobalt Kitty», στόχο αποτέλεσαν τα μέλη ανώτατης διοικητικής ομάδας σε παγκόσμια εταιρία που εδρεύει στην Ασία, με στόχο την κλοπή εμπορικών πληροφοριών.
Σύμφωνα με τα αποτελέσματα της νέας αυτής έρευνας της ESET, η ομάδα χρησιμοποιεί διάφορες μεθόδους για να εξαπατά τα πιθανά θύματα ώστε να εκτελούν κακόβουλα droppers, όπως εφαρμογές double extension και fake icon (π.χ. Word, PDF κ.λπ.). Αυτά τα droppers πιθανά επισυνάπτονται σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, ωστόσο η ESET έχει εντοπίσει και πλαστά installers και software updates, τα οποία χρησιμοποιούνται για την εξάπλωση του ίδιου backdoor.
Στην πρόσφατη έρευνά της, η ESET παρουσιάζει τους τρόπους που χρησιμοποιεί το πρόσφατο αυτό backdoor της Oceanlotus για να εκτελέσει το κακόβουλο φορτίο του σε ένα σύστημα. Η διαδικασία εγκατάστασής του εξαρτάται σε μεγάλο βαθμό από ένα παραπλανητικό έγγραφο που αποστέλλεται σε ένα δυνητικά ενδιαφερόμενο παραλήπτη. Για να εκτελεστεί, ακολουθούνται διάφορα στάδια στα οποία γίνεται χρήση λειτουργιών από τη μνήμη του υπολογιστή, καθώς και μία τεχνική πλευρικής φόρτωσης.
Όπως σημειώνει ο Alexis Dorais-Joncas, Security Intelligence Team Lead της ESET,
“Οι δραστηριότητες της ομάδας OceanLotus αποδεικνύουν την πρόθεσή της να διατηρείται στην αφάνεια, επιλέγοντας προσεκτικά τους στόχους της, αλλά η έρευνα της ESET έφερε στο φως την πραγματική έκταση των σχεδίων της”
Η ομάδα hacking προσπαθεί να περιορίζει την εξάπλωση του κακόβουλου λογισμικού και χρησιμοποιεί αρκετούς διαφορετικούς server για να αποφύγει την προσέλκυση προσοχής σε έναν μόνο τομέα ή διεύθυνση IP. Κρυπτογραφώντας το κακόβουλο φορτίο και χρησιμοποιώντας την τεχνική της πλευρικής φόρτωσης, η OceanLotus μπορεί να κινείται αθόρυβα, πραγματοποιώντας κακόβουλες δραστηριότητες, οι οποίες φαίνεται να προέρχονται από αυθεντικές εφαρμογές.
Ενώ η ομάδα έχει καταφέρει να παραμείνει κρυμμένη, η έρευνα της ESET έχει αποκαλύψει τη συνεχιζόμενη δραστηριότητά της και τον τρόπο με τον οποίο καταφέρνει να φέρνει σε πέρας με επιτυχία τα σχέδια της.
Ο Romain Dumont, Malware Researcher της ESET, προσθέτει:
“Οι υπηρεσίες threat intelligence της ESET έχουν δώσει σημαντικά στοιχεία, που αποδεικνύουν ότι η συγκεκριμένη ομάδα ενημερώνει συνεχώς τα εργαλεία της και εξακολουθεί να εμφανίζει κακόβουλες δραστηριότητες”
Περισσότερες πληροφορίες για την έρευνα της ESET σχετικά με τη δραστηριότητα της OceanLotus, μπορείτε να βρείτε εδώ.