26/02/21
Вьетнамская хакерская группировка APT32 (также известная как OceanLotus и SeaLotus) организовала ряд атак с использованием шпионского ПО, нацеленных на вьетнамских правозащитников в период с февраля 2018 года по ноябрь 2020 года.
Злоумышленники также атаковали некоммерческую правозащитную организацию из Вьетнама, сообщили специалисты из правозащитной организации Amnesty International.
Шпионское ПО, используемое хакерами из APT32, позволяло им читать и записывать документы на скомпрометированных системах, запускать вредоносные инструменты и программы и отслеживать действия своих жертв.
По словам специалистов, атаки являются частью текущей кампании, направленной на слежку за вьетнамскими правозащитниками, блоггерами и некоммерческими организациями (как внутри, так и за пределами Вьетнама).
Все атаки осуществлялись путем отправки электронных писем, якобы содержащих важный документ со ссылкой для загрузки файла. Злоумышленники отправляли жертвам электронные письма, содержащие шпионское ПО, а полезная нагрузка устанавливалась на компьютеры под управлением Windows с помощью загрузчика Kerrdown. Злоумышленники загрузили и развернули маяки Cobalt Strike, чтобы получить постоянный удаленный доступ к скомпрометированным системам.
В случае пользователей Mac участники APT32 использовали бэкдор в macOS, обнаруженный в рамках предыдущих атак на вьетнамские цели. Вредонос предназначен для предоставления злоумышленникам возможности загружать, скачивать и выполнять произвольные команды.
