Недавние расследования выявили целенаправленную атаку, организованную APT-группой из Юго-Восточной Азии, известной как OceanLotus (APT32). Эта группа применила новые методы кибератаки, которые стали возможны благодаря внедрению сложного вредоносного ПО в законные проекты на платформе Visual Studio.
Методы атаки и инструменты
OceanLotus использовала инструмент повышения привилегий, применяемый сотрудниками службы кибербезопасности, что указывает на высокую степень подготовки злоумышленников. Важными компонентами атаки стали:
- Внедрение бэкдора в проект Visual Studio;
- Использование вредоносного файла .suo, запущенного с помощью плагина Cobalt Strike;
- Компиляция вредоносного файла, который автоматически запускался при открытии проекта;
- Создание учетной записи на GitHub для сокрытия своих намерений.
Технические детали и последствия
Данная атака инициировалась с середины сентября по начало октября 2024 года. В ходе операции OceanLotus значительно изменила свою методологию:
Хакеры, выдавая себя за исследователей в области безопасности, выпустили два вредоносных проекта, которые включали плагины для Cobalt Strike на китайском языке. Это способствовало привлечению внимания исследователей кибербезопасности. Примечательно, что вредоносный код:
- Удалялся сам по себе после однократного выполнения, затрудняя его обнаружение;
- Использовал функционал Visual Studio для перезаписи существующих файлов .suo, что усложняло анализ;
- Десериализовал исполняемый код из потока, закодированного в base64, с помощью метода удаления библиотеки DLL.
Система командования и контроля
Данная операция включала в себя сложные системы связи командования и контроля (C2), использующие платформу Notion для отправки и получения инструкций. Это помогало обойти традиционные методы обнаружения трафика. Анализ образцов атак выявил наличие подключенной сети подозрительных адресов C2, что свидетельствует о более организованном подходе к таргетингу, в частности, на сотрудников высокотехнологичных компаний. Некоторые образцы вредоносных программ включали проверки для подтверждения соответствия целевой машины конкретным пользователям, представляющим интерес.
Заключение
Подводя итог, можно сказать, что OceanLotus продемонстрировала расширенные возможности в области кибербезопасности с помощью инновационных методов, таких как внедрение вредоносных программ в, казалось бы, законные проекты и использование разнообразных механизмов C2. Это знаменует собой значительную эволюцию в их тактических подходах к кибератакам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "OceanLotus: Новые тактики целенаправленных кибератак от APT-группы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.