11,6 тыс подписчиков

Группа OceanLotus: новые угрозы в киберпространстве 2024 года

23 января 202523 янв 2025

2 мин

В последние годы мир кибербезопасности стал свидетелем появления новых угроз, и группа OceanLotus ярко выделяется на этом фоне. Впервые возникшая в середине 2022 года, эта хакерская группировка за короткое время продемонстрировала передовые методы ведения кибервойны. Особенно активной она стала в 2023 году, осуществляя шпионские операции с использованием уязвимостей нулевого дня. OceanLotus нацелилась на стратегически важные области, включая: Основными регионами действия группы стали Ближний Восток, Центральная Азия, Африка и Восточная Азия. Основной целью операций было похищение информации из энергетических и военно-промышленных сфер. Группа применяла продвинутые тактики, включая: Одной из значительных уловок было использование двухплатформенного троянца Win|Linux для проникновения на пограничные серверы, что продемонстрировало высокий уровень мастерства в киберугрозах. Группа смогла обходить системы безопасности, такие как 360 Security Guard и Skyrocket EDR, используя специальные мет

Оглавление

Таргетинг ключевых секторов
Использование передовых технологий
Опасность для систем безопасности

Таргетинг ключевых секторов

OceanLotus нацелилась на стратегически важные области, включая:

Военный сектор
Энергетика
Аэрокосмос

Основными регионами действия группы стали Ближний Восток, Центральная Азия, Африка и Восточная Азия. Основной целью операций было похищение информации из энергетических и военно-промышленных сфер.

Использование передовых технологий

Группа применяла продвинутые тактики, включая:

Рассылку вредоносных обновлений через уязвимости нулевого дня в программном обеспечении терминалов.
Использование плагины памяти для шпионских операций.
Интеграцию Cobalt Strike для создания скриншотов и управления системными процессами.

Одной из значительных уловок было использование двухплатформенного троянца Win|Linux для проникновения на пограничные серверы, что продемонстрировало высокий уровень мастерства в киберугрозах.

Опасность для систем безопасности

Группа смогла обходить системы безопасности, такие как 360 Security Guard и Skyrocket EDR, используя специальные методы для избежания обнаружения. Однако в декабре 2023 года их деятельность неожиданно прекратилась, что может свидетельствовать о смене стратегии или изменении условий ведения атаки.

Возрождение и новые операции

В марте 2024 года группа OceanLotus возобновила активность, проведя мероприятия по цепочке поставок, вновь прослеживая свои действия в часовом поясе UTC +7. Они начали использовать отечественные VPS-серверы в качестве прокси, что указывает на их интеграцию в местные «черные» и «серые» рыночные структуры.

Глобальная угроза

Параллельно с действиями OceanLotus, другие APT-группы также начали применять подобные тактики. Это подчеркивает необходимость повышения безопасности в интернете и активизации противодействующих мер. Предполагается, что злоумышленники, стоящие за этой группой, имеют связи в странах Юго-Восточной Азии и оказывают разведывательные услуги, что дополнительно усугубляет ситуацию.

Наблюдения показывают, что шпионская деятельность группы OceanLotus сконцентрирована на критически важных целях, особенно в сфере энергетики и военной промышленности, что соответствует интересам стран региона и намекает на сотрудничество с экстерриториальными державами.

Появление OceanLotus совпало с недавним подписанием соглашения о сотрудничестве в области кибербезопасности между одной из стран Юго-Восточной Азии и внешней державой, что может дать новому витку киберугроз более широкие масштабы и серьезные последствия для мировой безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Группа OceanLotus: новые угрозы в киберпространстве 2024 года".