Klassificering af malware til bekæmpelse af internettrusler
Dr. Lorenzo Cavallaro, professor of computer science stol i internetsikkerhed ved King ‘ s College, London, nedbryder betydningen af klassificering af malware for at håndtere cyber-trusler med Tonya Hall.
Den OceanLotus hacking gruppen er tilbage med en ny kampagne i 2019 komplet med nye exploits, lokkefugle, og selvudpakkende ondsindede arkiver.
Også kendt som APT32, SeaLotus, APT-C-00, og Kobolt Kitty, OceanLotus er et hacking-gruppen, som opererer på tværs af Asien, og som fokuserer på at indsamle værdifulde intel på erhvervskunder, offentlige og politiske enheder i hele Vietnam, Filippinerne, Laos og Cambodja.
Menneskerettigheder udstyr, medier, forskningsinstitutter, konstruktion og den maritime virksomheder er de hackere’ foretrukne mål, og de seneste angreb mod disse typer af organisationer, der har været knyttet til deres kampagner.
Truslen aktører har været løftestang for nye taktik i år. ESET forskerne sagde i et blog-indlæg på onsdag, der er af særlig interesse er brugen af offentligt tilgængelige udnytter for hukommelse korruption svaghed til stede i Microsoft Office, CVE-2017-11882, som er blevet tilpasset til brug i OceanLotus phishing-forsøg.
OceanLotus begynder sin infektion rejse gennem brug af falske dokumenter-og phishing-meddelelser, som ofre finde “tiltalende,” i henhold til holdet. I løbet af phishing, truslen gruppe kan også gøre brug af “lokkedue” dokumenter og billeder, som er sendt sammen med ondsindede filer, for yderligere at skjule deres sande hensigter.
Se også: EU ‘ s offentlige hjemmesider befængt med tredje-part, adtech scripts
Disse omfatter meddelelser og dokumenter vedrørende medier kontaktoplysninger, stævner og politiske begivenheder. Hvis et offer er ført bag lyset og både åbne op for en ondsindet fil, og gør det muligt for makroer, dette installerer en bagdør i stand til overvågning og data exfiltration.
En af gruppens phishing-dokumenter, der anvendes i en kampagne, der finder sted I midten af 2018 brugt proof-of-concept (PoC) kode offentliggøres for CVE-2017-11882, hukommelse og objekt håndtering af spørgsmål, der kan resultere i tab af data. Nu, tilsvarende dokumenter, der er dukket op i angreb, der finder sted dette år, som fokuserer på, at parterne er interesserede i Cambodjansk politik.
OceanLotus har også udvidet sit værktøjssæt med ikke kun makro-laden dokumenter og dobbelt-extension-filer, men også brugen af en selvudpakkende (SFX) arkiver. Fælles dokument ikoner bruges til at vildlede ofre, og når den er udført, disse filer drop og kør DLL-filer — komplet med en .ocx udvidelse — hvilket resulterer i udførelsen af yderligere skadelig nyttelast.
TechRepublic: Svaghed i SoftNAS Cloud muligt for fjernangribere at omgå autentifikation,
De seneste angreb også omfatte brugen af malware i stand til at oprette planlagte opgaver, som kører dagligt for at opretholde vedholdenhed på en inficeret maskine.
Den gruppe, som mange andre, der ligner dem, der til stadighed forsøger at undgå at blive opdaget, sandboxing og reverse-engineering indsats af forskere og nu går den ekstra mil for at trække off en succes cyberangreb.
“OceanLotus er meget aktiv og holder udvikler sig,” ESET siger. “Den gruppe, der virkelig fokuserer på varierende deres redskaber og lokkefugle. De dygtigt wrap deres nyttelast med flotte dokumenter, der er baseret på aktuelle begivenheder, der er tilbøjelige til at være af interesse for deres tilsigtede ofre. Desuden, de bliver ved med at forbedre deres teknikker til at reducere antallet af artefakter tilbage på deres ofre ” maskiner, og derved reducere de odds, for afsløring af sikkerheds-produkter.”
CNET: Huawei kontrovers: Alt, hvad du behøver at vide
I April, forskere har offentliggjort en undersøgelse af en ny MacOS bagdør døbt OSX_OCEANLOTUS.D, der menes at være udført af den samme gruppe. Bagdøren er udformet til at synes at være fra en Vietnamesisk organisation, der fremmer den nationale uafhængighed.
Tidligere og relaterede dækning
Global trussel gruppe Fin7 vender tilbage med nye malware SQLRat
CUJO Smart Firewall sårbarheder udsat hjemme-netværk til kritiske angreb
Bank hackere hold op med at sprede finansielle Trojanske heste på verdensplan
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre