Grupo OceanLotus ataca empresas e redes governamentais
O grupo OceanLotus está ativo no ataque a empresas e redes governamentais em países do Leste Asiático, alertou a ESET. O grupo, que também é conhecido por APT32 e APT-C-00, continua a sua atividade graças a backdoors, infraestrutura e vetores de infeção constantemente atualizados.
A ESET descobriu e analisou uma das suas mais recentes backdoors, identificando as manobras utilizadas para convencer os utilizadores desavisados a executar a backdoor de maneira a atrasar o seu reconhecimento e evitar a deteção.
Os métodos de distribuição, com especial evidência nas Filipinas, Laos e Camboja, incluem "droppers" que instalam malware e instaladores falsificados, que se mascaram de atualizações para softwares populares (como o Firefox) para executar informação maliciosa num sistema.
Sejam obtidos através de um email ou descarregados durante uma visite a um website comprometido, o processo de instalação e execução depende grandemente de múltiplas camadas de ofuscação, como descodificação de dados, reconstrução PE e carregamento de shellcode, e técnicas de carregamento lateral. O ataque está dividido em duas partes: o "dropper" e o launcher da backdoor
O grupo OceanLotus tem demonstrado ser eficiente em manter-se escondido escolhendo cuidadosamente os seus alvos, limitando a distribuição do seu malware e usando diferentes servidores para impedir atrair a atenção para um único domínio ou endereço de IP. A encriptação dos dados, juntamente com a técnica de carregamento lateral – apesar da sua idade -, constituem uma forma eficaz de permanecer não detetado. As atividades maliciosas dão a entender ter a sua origem numa aplicação legítima.
Mais informações: https://www.welivesecurity.
0 Comments: