Новая угроза: атака APT-группы Ocean Lotus на GitHub

Изображение: mp.weixin.qq.com
В ноябре 2024 года специалисты по кибербезопасности зафиксировали целенаправленную кибератаку, которая, как предполагается, была организована APT-группой из Юго-Восточной Азии, известной как «Ocean Lotus». Эта атака потрясла мир экспертов, поскольку использовала уникальный метод компрометации личностей и данных специалистов по сетевой безопасности.
Механизм атаки
Злоумышленники применили скрытый инструмент повышения привилегий, внедряя троянских коней в файлы .suo в проектах Visual Studio, используя распространение плагина для уязвимостей Cobalt Strike через GitHub. Данные о атаке свидетельствуют о следующих аспектах:
- Атака была разработана под именем пользователя «0xjiefeng», который выдавал себя за исследователя безопасности.
- Вредоносный код запускался при открытии файлов проектов в Visual Studio.
- Методы скрытия вредоносного ПО включали перезапись и удаление самих себя, чтобы затруднить их обнаружение.
Стратегии обмана и сокрытия
Ключевым элементом метода «Ocean Lotus» стало использование system xpsservices.dll для выполнения шелл-кода и установления связи с зарубежной платформой для создания заметок Notion. Это позволило избежать сетевого мониторинга и внедрить команды в рабочее пространство Notion, что значительно усложнило отслеживание коммуникаций злоумышленников.
Целевая аудитория
Анализ показал, что атаки группы имели высокий уровень целенаправленности: проверялись имена компьютеров-жертв, чтобы убедиться в соответствии с запланированными целями. Основное внимание фокусировалось на:
- Правительственном секторе;
- Корпоративном секторе;
- Крупных технологических компаниях.
Реакция и мониторинг
Weibu Intelligence Bureau сумело успешно идентифицировать учетную запись злоумышленника на GitHub и извлекло индикаторы компрометации (IOCs) для дальнейшего анализа угроз. Для мониторинга и защиты от атак использовались:
- Weibu Threat Perception (TDP);
- Threat Intelligence Management (TIP).
Активы, связанные с атаками «Ocean Lotus», были отслежены с использованием сопоставления данных, что подтвердило сложную тактику группы и обширную инфраструктуру атак.
Заключение
Атака «Ocean Lotus» стала знаковым событием, указывающим на новые подходы к киберугрозам и необходимую бдительность специалистов в области безопасности. С развитием технологий методы злоумышленников также становятся более изощренными, подчеркивая важность постоянного мониторинга и обновления стандартов киберзащиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



