APT-группа «Ocean Lotus»: Новый подход к кибератакам

APT-группа 171Ocean Lotus187: Новый подход к кибератакам

Инцидент, связанный с вредоносным бэкдором, встроенным в инструмент повышения привилегий, наглядно демонстрирует растущую угрозу в области кибербезопасности. Атакующая группа APT «Ocean Lotus» из Юго-Восточной Азии смогла распространить троянский плагин через платформу GitHub, что привело к утечке идентификационных данных пользователей.

Анализ и методики атаки

Разведывательное бюро Weibu обнаружило данный инцидент в ноябре 2024 года. В ходе расследования было установлено, что злоумышленник использовал новый метод доставки вредоносных файлов с расширением .suo в проекты Visual Studio. Это позволяло автоматически запускать троянскую программу при компиляции проекта жертвой, что делало атаку практически незаметной.

Первоначальная атака происходила в период с середины сентября по начало октября 2024 года. Weibu удалось перехватить подозрительные активы и троянские файлы, на основании чего были извлечены несколько индикаторов компрометации (IOCs) для предупреждения о возможных угрозах.

Цели и тактика «Ocean Lotus»

  • Нацеленность на крупные технологические компании.
  • Использование переведенных на китайский язык описаний для заманивания пользователей.
  • Регистрация учетной записи на GitHub под видом исследователя безопасности.

Злоумышленник зарегистрировал свою учетную запись на GitHub 10 октября 2024 года и в течение нескольких дней выпустил два вредоносных проекта, весьма привлекательных для исследователей в области безопасности. Они нацеливались на инструмент red team Cobalt Strike и использовали новые функции уязвимостей, чтобы обмануть своих жертв.

В процессе выполнения вредоносного кода происходило удаление файлов, что значительно затрудняло его обнаружение. Атака также предусматривала:

  • Выполнение шеллкода посредством удаления рутинных библиотек (.dll).
  • Внедрение команд управления C2 в платформу Concept.
  • Использование фишинговых электронных писем для первоначальных атак на государственные и корпоративные предприятия.

Результаты и выводы

Анализ атакующих ресурсов «Ocean Lotus» показал, что они использовали характеристики сопоставления портов, что указало на активные атаки в указанный период. В образцах также были обнаружены данные, касающиеся конкретных целей, такие как имена компьютеров жертв и информация о крупных технологических компаниях.

Ситуация подчеркивает высокую степень изощренности группы «Ocean Lotus» и ее намерение целенаправленно проникать в организации с вредоносными целями. Для обнаружения и защиты от данной атаки Weibu использовала различные передовые инструменты, такие как платформа восприятия угроз TDP, платформа управления аналитическими данными об угрозах TIP и платформа облачного анализа OneSandbox.

Таким образом, инцидент с «Ocean Lotus» является тревожным сигналом для всех организаций, работающих в сфере технологий, призывающим к вниманию и готовности к потенциальным киберугрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: