Новая угроза от OceanLotus: атаки на ARM64 и системы Интернета вещей
OceanLotus, известная также как APT32, — это активная с 2012 года организация передовых постоянных угроз (APT), сосредоточенная на правительственных учреждениях, предприятиях, СМИ и активистах в Восточной и Юго-Восточной Азии. Последние исследования команды Knowsec 404 Advanced Threat Intelligence выявили важные изменения в тактике этой группы, связанные с появлением вредоносного ПО, нацеленного на архитектуру ARM64.
OceanLotus: от Windows к ARM64
Ранее OceanLotus преимущественно использовала бэкдорные трояны, работающие на платформах Windows с архитектурой x86. Однако новый образец вредоносного ПО, называемый «mingwdoor-ARM-2», демонстрирует значительный сдвиг — атаки теперь нацелены на системы ARM64, которые широко представлены во встраиваемых устройствах, мобильных платформах (включая Apple iOS) и Интернете вещей (IoT).
Это особенно актуально, учитывая, что архитектура ARM лежит в основе отечественной операционной системы Kylin, используемой в критически важных секторах, таких как правительство и финансы. Следовательно, существует высокая вероятность того, что OceanLotus расширяет спектр своих атак, чтобы включить IoT и системы Kylin.
Технические особенности и сходства с предыдущими версиями
Примечательно, что «mingwdoor-ARM-2» сохраняет архитектурные и программные элементы, близкие к ранее обнаруженным троянам OceanLotus для x86. В частности:
- Использование nmap для создания разведывательного пространства;
- Манипуляция с разрешениями памяти через mprotect для обеспечения исполняемости вредоносного шеллкода;
- Существенные совпадения основного шеллкода с предыдущими версиями, что указывает на централизованную разработку мультиплатформенного вредоносного ПО;
- Замена HTTP-связи на основе сокетов (в версиях для Windows) на SSL-связь с использованием библиотеки Libcurl в ARM64-версии, демонстрирующая адаптацию к архитектуре и повышенную безопасность коммуникаций.
Стратегия OceanLotus в контексте атак
Исторически OceanLotus использовала комплексный подход к атакам, включая эксплуатацию:
- Уязвимостей в брандмауэрах;
- Слабых мест VPN;
- Проблем в маршрутизаторах;
- Недостатков в системах Linux и Windows.
Данная тактика позволяет им строить многоуровневую инфраструктуру угроз, которая эффективна на различных платформах — от персональных компьютеров и серверов до IoT-устройств и отечественных операционных систем.
Особое внимание стоит уделить способам реализации вредоносного кода, которые включают:
- Использование нетрадиционных языков программирования и сред разработки, затрудняющих обратное проектирование;
- Высокий уровень обфускации, повышающий скрытность вредоносного ПО.
Рекомендации по защите от угроз OceanLotus
Учитывая рост и усложнение атак, организациям важно выстраивать всестороннюю стратегию кибербезопасности, включая:
- Создание расширенных возможностей восприятия угроз, охватывающих разные платформы и обеспечивающих ситуационную осведомленность;
- Постоянный мониторинг сетевых границ, терминальных систем и IoT-устройств;
- Укрепление защиты инфраструктуры, особенно архитектур ARM и отечественных ОС (например, Kylin);
- Активное обмен информацией и совместный анализ угроз с другими организациями для своевременного обнаружения и блокировки атак;
- Внедрение динамического механизма защиты, способного адаптироваться к быстро меняющимся тактикам злоумышленников.
Только комплексный и структурированный подход к безопасности позволит эффективно противодействовать изощренным атакам от таких APT-групп, как OceanLotus.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "OceanLotus APT32: новая угроза для ARM64 и Интернета вещей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.