СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.04.2025
#Dev#ИБ

OceanLotus: Новые тактики целенаправленных кибератак от APT-группы

OceanLotus: Новые тактики целенаправленных кибератак от APT-группы

Недавние расследования выявили целенаправленную атаку, организованную APT-группой из Юго-Восточной Азии, известной как OceanLotus (APT32). Эта группа применила новые методы кибератаки, которые стали возможны благодаря внедрению сложного вредоносного ПО в законные проекты на платформе Visual Studio.

Методы атаки и инструменты

OceanLotus использовала инструмент повышения привилегий, применяемый сотрудниками службы кибербезопасности, что указывает на высокую степень подготовки злоумышленников. Важными компонентами атаки стали:

  • Внедрение бэкдора в проект Visual Studio;
  • Использование вредоносного файла .suo, запущенного с помощью плагина Cobalt Strike;
  • Компиляция вредоносного файла, который автоматически запускался при открытии проекта;
  • Создание учетной записи на GitHub для сокрытия своих намерений.

Технические детали и последствия

Данная атака инициировалась с середины сентября по начало октября 2024 года. В ходе операции OceanLotus значительно изменила свою методологию:

Хакеры, выдавая себя за исследователей в области безопасности, выпустили два вредоносных проекта, которые включали плагины для Cobalt Strike на китайском языке. Это способствовало привлечению внимания исследователей кибербезопасности. Примечательно, что вредоносный код:

  • Удалялся сам по себе после однократного выполнения, затрудняя его обнаружение;
  • Использовал функционал Visual Studio для перезаписи существующих файлов .suo, что усложняло анализ;
  • Десериализовал исполняемый код из потока, закодированного в base64, с помощью метода удаления библиотеки DLL.

Система командования и контроля

Данная операция включала в себя сложные системы связи командования и контроля (C2), использующие платформу Notion для отправки и получения инструкций. Это помогало обойти традиционные методы обнаружения трафика. Анализ образцов атак выявил наличие подключенной сети подозрительных адресов C2, что свидетельствует о более организованном подходе к таргетингу, в частности, на сотрудников высокотехнологичных компаний. Некоторые образцы вредоносных программ включали проверки для подтверждения соответствия целевой машины конкретным пользователям, представляющим интерес.

Заключение

Подводя итог, можно сказать, что OceanLotus продемонстрировала расширенные возможности в области кибербезопасности с помощью инновационных методов, таких как внедрение вредоносных программ в, казалось бы, законные проекты и использование разнообразных механизмов C2. Это знаменует собой значительную эволюцию в их тактических подходах к кибератакам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: