Группа OceanLotus: новые угрозы в киберпространстве 2024 года

В последние годы мир кибербезопасности стал свидетелем появления новых угроз, и группа OceanLotus ярко выделяется на этом фоне. Впервые возникшая в середине 2022 года, эта хакерская группировка за короткое время продемонстрировала передовые методы ведения кибервойны. Особенно активной она стала в 2023 году, осуществляя шпионские операции с использованием уязвимостей нулевого дня.
Таргетинг ключевых секторов
OceanLotus нацелилась на стратегически важные области, включая:
- Военный сектор
- Энергетика
- Аэрокосмос
Основными регионами действия группы стали Ближний Восток, Центральная Азия, Африка и Восточная Азия. Основной целью операций было похищение информации из энергетических и военно-промышленных сфер.
Использование передовых технологий
Группа применяла продвинутые тактики, включая:
- Рассылку вредоносных обновлений через уязвимости нулевого дня в программном обеспечении терминалов.
- Использование плагины памяти для шпионских операций.
- Интеграцию Cobalt Strike для создания скриншотов и управления системными процессами.
Одной из значительных уловок было использование двухплатформенного троянца Win|Linux для проникновения на пограничные серверы, что продемонстрировало высокий уровень мастерства в киберугрозах.
Опасность для систем безопасности
Группа смогла обходить системы безопасности, такие как 360 Security Guard и Skyrocket EDR, используя специальные методы для избежания обнаружения. Однако в декабре 2023 года их деятельность неожиданно прекратилась, что может свидетельствовать о смене стратегии или изменении условий ведения атаки.
Возрождение и новые операции
В марте 2024 года группа OceanLotus возобновила активность, проведя мероприятия по цепочке поставок, вновь прослеживая свои действия в часовом поясе UTC +7. Они начали использовать отечественные VPS-серверы в качестве прокси, что указывает на их интеграцию в местные «черные» и «серые» рыночные структуры.
Глобальная угроза
Параллельно с действиями OceanLotus, другие APT-группы также начали применять подобные тактики. Это подчеркивает необходимость повышения безопасности в интернете и активизации противодействующих мер. Предполагается, что злоумышленники, стоящие за этой группой, имеют связи в странах Юго-Восточной Азии и оказывают разведывательные услуги, что дополнительно усугубляет ситуацию.
Наблюдения показывают, что шпионская деятельность группы OceanLotus сконцентрирована на критически важных целях, особенно в сфере энергетики и военной промышленности, что соответствует интересам стран региона и намекает на сотрудничество с экстерриториальными державами.
Появление OceanLotus совпало с недавним подписанием соглашения о сотрудничестве в области кибербезопасности между одной из стран Юго-Восточной Азии и внешней державой, что может дать новому витку киберугроз более широкие масштабы и серьезные последствия для мировой безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



