Новая угроза: атака APT-группы Ocean Lotus на GitHub

Новая угроза: атака APT-группы Ocean Lotus на GitHub

Изображение: mp.weixin.qq.com

В ноябре 2024 года специалисты по кибербезопасности зафиксировали целенаправленную кибератаку, которая, как предполагается, была организована APT-группой из Юго-Восточной Азии, известной как «Ocean Lotus». Эта атака потрясла мир экспертов, поскольку использовала уникальный метод компрометации личностей и данных специалистов по сетевой безопасности.

Механизм атаки

Злоумышленники применили скрытый инструмент повышения привилегий, внедряя троянских коней в файлы .suo в проектах Visual Studio, используя распространение плагина для уязвимостей Cobalt Strike через GitHub. Данные о атаке свидетельствуют о следующих аспектах:

  • Атака была разработана под именем пользователя «0xjiefeng», который выдавал себя за исследователя безопасности.
  • Вредоносный код запускался при открытии файлов проектов в Visual Studio.
  • Методы скрытия вредоносного ПО включали перезапись и удаление самих себя, чтобы затруднить их обнаружение.

Стратегии обмана и сокрытия

Ключевым элементом метода «Ocean Lotus» стало использование system xpsservices.dll для выполнения шелл-кода и установления связи с зарубежной платформой для создания заметок Notion. Это позволило избежать сетевого мониторинга и внедрить команды в рабочее пространство Notion, что значительно усложнило отслеживание коммуникаций злоумышленников.

Целевая аудитория

Анализ показал, что атаки группы имели высокий уровень целенаправленности: проверялись имена компьютеров-жертв, чтобы убедиться в соответствии с запланированными целями. Основное внимание фокусировалось на:

  • Правительственном секторе;
  • Корпоративном секторе;
  • Крупных технологических компаниях.

Реакция и мониторинг

Weibu Intelligence Bureau сумело успешно идентифицировать учетную запись злоумышленника на GitHub и извлекло индикаторы компрометации (IOCs) для дальнейшего анализа угроз. Для мониторинга и защиты от атак использовались:

  • Weibu Threat Perception (TDP);
  • Threat Intelligence Management (TIP).

Активы, связанные с атаками «Ocean Lotus», были отслежены с использованием сопоставления данных, что подтвердило сложную тактику группы и обширную инфраструктуру атак.

Заключение

Атака «Ocean Lotus» стала знаковым событием, указывающим на новые подходы к киберугрозам и необходимую бдительность специалистов в области безопасности. С развитием технологий методы злоумышленников также становятся более изощренными, подчеркивая важность постоянного мониторинга и обновления стандартов киберзащиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: