OceanLotus APT32: новая угроза для ARM64 и Интернета вещей

Новая угроза от OceanLotus: атаки на ARM64 и системы Интернета вещей

OceanLotus, известная также как APT32, — это активная с 2012 года организация передовых постоянных угроз (APT), сосредоточенная на правительственных учреждениях, предприятиях, СМИ и активистах в Восточной и Юго-Восточной Азии. Последние исследования команды Knowsec 404 Advanced Threat Intelligence выявили важные изменения в тактике этой группы, связанные с появлением вредоносного ПО, нацеленного на архитектуру ARM64.

OceanLotus: от Windows к ARM64

Ранее OceanLotus преимущественно использовала бэкдорные трояны, работающие на платформах Windows с архитектурой x86. Однако новый образец вредоносного ПО, называемый «mingwdoor-ARM-2», демонстрирует значительный сдвиг — атаки теперь нацелены на системы ARM64, которые широко представлены во встраиваемых устройствах, мобильных платформах (включая Apple iOS) и Интернете вещей (IoT).

Это особенно актуально, учитывая, что архитектура ARM лежит в основе отечественной операционной системы Kylin, используемой в критически важных секторах, таких как правительство и финансы. Следовательно, существует высокая вероятность того, что OceanLotus расширяет спектр своих атак, чтобы включить IoT и системы Kylin.

Технические особенности и сходства с предыдущими версиями

Примечательно, что «mingwdoor-ARM-2» сохраняет архитектурные и программные элементы, близкие к ранее обнаруженным троянам OceanLotus для x86. В частности:

• Использование nmap для создания разведывательного пространства;
• Манипуляция с разрешениями памяти через mprotect для обеспечения исполняемости вредоносного шеллкода;
• Существенные совпадения основного шеллкода с предыдущими версиями, что указывает на централизованную разработку мультиплатформенного вредоносного ПО;
• Замена HTTP-связи на основе сокетов (в версиях для Windows) на SSL-связь с использованием библиотеки Libcurl в ARM64-версии, демонстрирующая адаптацию к архитектуре и повышенную безопасность коммуникаций.

Стратегия OceanLotus в контексте атак

Исторически OceanLotus использовала комплексный подход к атакам, включая эксплуатацию:

• Уязвимостей в брандмауэрах;
• Слабых мест VPN;
• Проблем в маршрутизаторах;
• Недостатков в системах Linux и Windows.

Данная тактика позволяет им строить многоуровневую инфраструктуру угроз, которая эффективна на различных платформах — от персональных компьютеров и серверов до IoT-устройств и отечественных операционных систем.

Особое внимание стоит уделить способам реализации вредоносного кода, которые включают:

• Использование нетрадиционных языков программирования и сред разработки, затрудняющих обратное проектирование;
• Высокий уровень обфускации, повышающий скрытность вредоносного ПО.

Рекомендации по защите от угроз OceanLotus

Учитывая рост и усложнение атак, организациям важно выстраивать всестороннюю стратегию кибербезопасности, включая:

• Создание расширенных возможностей восприятия угроз, охватывающих разные платформы и обеспечивающих ситуационную осведомленность;
• Постоянный мониторинг сетевых границ, терминальных систем и IoT-устройств;
• Укрепление защиты инфраструктуры, особенно архитектур ARM и отечественных ОС (например, Kylin);
• Активное обмен информацией и совместный анализ угроз с другими организациями для своевременного обнаружения и блокировки атак;
• Внедрение динамического механизма защиты, способного адаптироваться к быстро меняющимся тактикам злоумышленников.

Только комплексный и структурированный подход к безопасности позволит эффективно противодействовать изощренным атакам от таких APT-групп, как OceanLotus.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.