22/03/19
APT-группа OceanLotus, также известная как APT32, SeaLotus, APT-C-00 и Cobalt Kitty, вернулась на киберпреступную арену, вооружившись новыми эксплоитами, ловушками и самораспаковывающимися вредоносными архивами.
OceanLotus известна своими атаками на организации в странах Азии, в частности в Лаосе, Камбодже, Вьетнаме и на Филиппинах. Кибершпионов интересует сбор разведданных коммерческих, правительственных и политических организаций. Среди наиболее часто атакуемых целей – организации по защите прав человека, СМИ и судостроительные компании.
Согласно отчету ESET, в нынешнем году OceanLotus вооружилась новой тактикой. Теперь группировка использует эксплоиты для уязвимости в Microsoft Office (CVE-2017-11882), находящиеся в открытом доступе и приспособленные под ее фишинговые атаки.
Атака начинается с открытия жертвой вредоносного документа или сообщения, тема которого подобрана таким образом, чтобы наверняка ее заинтересовать. Наряду с вредоносными файлами злоумышленники используют ловушки – изображения и документы, маскирующие истинные мотивы преступников.
Вредоносные документы подделаны под сообщения от СМИ и посвящены предвыборным кампаниям и политическим событиям. Когда жертва открывает файл и активирует макросы, на ее систему устанавливается бэкдор для сбора информации.
В середине прошлого года злоумышленники использовали в атаках PoC-эксплоит для CVE-2017-11882. Теперь исследователи обнаружили такой же документ в попытке атаковать лиц, интересующихся камбоджийской политикой.
В ходе новой кампании злоумышленники также используют вредоносное ПО, способное создавать запланированные задачи на каждый день для сохранения персистентности на зараженном компьютере. По словам исследователей, OceanLotus – очень активная группировка, постоянно совершенствующая свои инструменты и техники.
