Klassificering av malware för att bekämpa cyberhot
Dr. Lorenzo Cavallaro, professor i datavetenskap ordförande i it-säkerhet på King ‘ s College London, bryter ned betydelsen av klassificering av skadlig kod för att hantera it-relaterade hot med Tonya Hall.
Den OceanLotus hacka gruppen är tillbaka med en ny kampanj i 2019 komplett med nya bedrifter, lockbete, och självextraherande skadliga arkiv.
Även känd som APT32, SeaLotus, APT-C-00, och Kobolt Kitty, OceanLotus är en hacka-koncernen som har verksamhet i hela Asien och fokuserar på att samla värdefull intel på företag, myndigheter och politiska organ i hela Vietnam, Filippinerna, Laos och Kambodja.
Mänskliga rättigheter outfits, media, forskningsinstitut och maritima byggföretag är hackare ” att föredra mål och tidigare attacker mot dessa typer av organisationer har varit kopplat till deras kampanjer.
Hotet aktörer har varit att utnyttja de nya taktik i år. ESET forskare sade i ett blogginlägg på onsdag som är av särskilt intresse är användning av allmänt tillgängliga utnyttjar för ett minne korruption sårbarhet finns i Microsoft Office, CVE-2017-11882, som har anpassats för användning i OceanLotus phishing-försök.
OceanLotus börjar sin infektion resa genom användning av falska handlingar och phishing-meddelanden som offer hitta “tilltalande”, enligt teamet. Under phishing, hot grupp kan också använda sig av “lockbeten” dokument och bilder, som skickas tillsammans med skadliga filer, för att ytterligare dölja sina verkliga avsikter.
Se även: EU: s offentliga webbplatser infekterad med tredje part adtech-skript
Dessa inkluderar meddelanden och dokument som rör media kontakt information, demonstrationer och politiska händelser. Om ett offer är lurade och både öppna en skadlig fil och gör att makron, detta installerar en bakdörr kan övervakning och data exfiltration.
En av koncernens phishing dokument som används i en kampanj som äger rum I mitten av 2018 utnyttjas proof-of-concept (PoC) för kod offentliggöras för CVE-2017-11882, ett minne och objekt hantering av problem som kan resultera i förlust av data. Nu, liknande handlingar som har dykt upp i attacker äger rum detta år som fokuserar på parter som är intresserade av Kambodjansk politik.
OceanLotus har också diversifierat sin verktygslåda med inte bara makro-ladin dokument och dubbel-filer med filändelsen, men också användningen av self-extracting (SFX) är arkiv. Gemensamma dokument ikoner används för att vilseleda offren och när utförs dessa filer släppa och köra DLL-filer — komplett med en .ocx förlängning — vilket resulterar i utförandet av ytterligare skadliga nyttolaster.
TechRepublic: Säkerhetsproblem i SoftNAS Cloud gör det möjligt för angripare att kringgå autentisering
Den senaste tidens attacker också inkluderar användning av skadlig kod som kan skapa schemalagda uppgifter som körs dagligen för att upprätthålla uthållighet på en infekterad dator.
Gruppen, som många andra gillar dem, ständigt försöker att undvika upptäckt, sandlåda och reverse-engineering insatser av forskare och kommer nu att gå den extra milen för att dra av framgångsrika it-angrepp.
“OceanLotus är mycket aktiv och håller på att utvecklas till” ESET säger. “Den grupp som verkligen fokuserar på att variera sin toolsets och lockbete. De skickligt linda in sina nyttolaster med attraktiva dokument baserat på aktuella händelser som sannolikt kommer att vara av intresse för sina tilltänkta offer. Dessutom kommer de att fortsätta att förbättra sina metoder för att minska antalet artefakter kvar på sina offer ” – maskiner, vilket minskar oddsen för upptäckt av säkerhetsprodukter.”
CNET: Huawei kontrovers: Allt du behöver veta
I April, forskare publicerade en utredning av en ny MacOS bakdörr dubbade OSX_OCEANLOTUS.D som tros vara i samma grupp. Bakdörren är utformad så att den ser ut att vara från en Vietnamesisk organisation som främjar det nationella oberoendet.
Tidigare och relaterade täckning
Globala hot-gruppen Fin7 tillbaka med nya SQLRat malware
CUJO Smart Brandvägg sårbarheter som utsätts nätverk hem till kritiska attacker
Bank hackare laget upp för att sprida finansiella Trojaner i hela världen
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter