APT-группа «Ocean Lotus»: Новый подход к кибератакам

Инцидент, связанный с вредоносным бэкдором, встроенным в инструмент повышения привилегий, наглядно демонстрирует растущую угрозу в области кибербезопасности. Атакующая группа APT «Ocean Lotus» из Юго-Восточной Азии смогла распространить троянский плагин через платформу GitHub, что привело к утечке идентификационных данных пользователей.
Анализ и методики атаки
Разведывательное бюро Weibu обнаружило данный инцидент в ноябре 2024 года. В ходе расследования было установлено, что злоумышленник использовал новый метод доставки вредоносных файлов с расширением .suo в проекты Visual Studio. Это позволяло автоматически запускать троянскую программу при компиляции проекта жертвой, что делало атаку практически незаметной.
Первоначальная атака происходила в период с середины сентября по начало октября 2024 года. Weibu удалось перехватить подозрительные активы и троянские файлы, на основании чего были извлечены несколько индикаторов компрометации (IOCs) для предупреждения о возможных угрозах.
Цели и тактика «Ocean Lotus»
- Нацеленность на крупные технологические компании.
- Использование переведенных на китайский язык описаний для заманивания пользователей.
- Регистрация учетной записи на GitHub под видом исследователя безопасности.
Злоумышленник зарегистрировал свою учетную запись на GitHub 10 октября 2024 года и в течение нескольких дней выпустил два вредоносных проекта, весьма привлекательных для исследователей в области безопасности. Они нацеливались на инструмент red team Cobalt Strike и использовали новые функции уязвимостей, чтобы обмануть своих жертв.
В процессе выполнения вредоносного кода происходило удаление файлов, что значительно затрудняло его обнаружение. Атака также предусматривала:
- Выполнение шеллкода посредством удаления рутинных библиотек (.dll).
- Внедрение команд управления C2 в платформу Concept.
- Использование фишинговых электронных писем для первоначальных атак на государственные и корпоративные предприятия.
Результаты и выводы
Анализ атакующих ресурсов «Ocean Lotus» показал, что они использовали характеристики сопоставления портов, что указало на активные атаки в указанный период. В образцах также были обнаружены данные, касающиеся конкретных целей, такие как имена компьютеров жертв и информация о крупных технологических компаниях.
Ситуация подчеркивает высокую степень изощренности группы «Ocean Lotus» и ее намерение целенаправленно проникать в организации с вредоносными целями. Для обнаружения и защиты от данной атаки Weibu использовала различные передовые инструменты, такие как платформа восприятия угроз TDP, платформа управления аналитическими данными об угрозах TIP и платформа облачного анализа OneSandbox.
Таким образом, инцидент с «Ocean Lotus» является тревожным сигналом для всех организаций, работающих в сфере технологий, призывающим к вниманию и готовности к потенциальным киберугрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.



