Classificazione di malware per combattere le minacce informatiche
Dr. Lorenzo Cavallaro, docente di computer science sedia in sicurezza informatica presso il King College di Londra, si rompe l’importanza di classificare malware al fine di gestire le minacce informatiche con Tonya Hall.
Il OceanLotus gruppo di hacker è tornato con una nuova campagna nel 2019 completa con i nuovi exploit, esche, e di auto-estrazione dannoso archivi.
Noto anche come APT32, SeaLotus, APT-C-00, e Cobalto Kitty, OceanLotus è un gruppo di hacker che opera in tutta l’Asia, e si concentra sulla raccolta di preziose intel aziendali, di governo e della politica, le entità in Vietnam, Filippine, Laos e Cambogia.
Diritti umani abiti, i media, istituti di ricerca, e marittima, imprese di costruzione sono gli hacker’ destinazioni preferite e passato attacchi contro questi tipi di organizzazioni sono stati collegati a loro campagne.
La minaccia attori hanno saputo sfruttare le nuove tattiche di quest’anno. ESET i ricercatori hanno detto in un post sul blog di mercoledì che di particolare interesse è l’uso di pubblicamente-disponibile sfrutta una vulnerabilità di corruzione della memoria presenti in Microsoft Office, CVE-2017-11882, che è stato adattato per l’uso in OceanLotus tentativi di phishing.
OceanLotus inizia la sua infezione viaggio attraverso l’utilizzo di documenti falsi e messaggi di phishing che le vittime trovare “attraente”, secondo il team. Durante il phishing, la minaccia di gruppo possono anche fare uso di “esca” documenti e immagini, inviate al fianco di file dannosi, per mascherare ulteriormente le loro vere intenzioni.
Vedi anche: governo dell’UE, siti web, infestato di terze parti adtech script
Questi sono i messaggi e i documenti relativi ai media informazioni di contatto, raduni, eventi politici. Se la vittima è ingannato e sia aprire un file dannosi e consente macro, questo installa una backdoor in grado di sorveglianza e i dati di esfiltrazione.
Il gruppo di phishing di documenti utilizzati in una campagna di assunzione posto A metà del 2018 utilizzato proof-of-concept (PoC) codice resi pubblici per CVE-2017-11882, memoria e oggetto di manipolazione problema che può causare la perdita di dati. Ora, i documenti simili sono apparsi nel numero di attacchi che si svolgono quest’anno, che si concentra sulle parti interessate in Cambogiano politica.
OceanLotus ha anche diversificato la sua di strumenti con non solo macro-laden documenti e fare doppio estensione di file, ma anche l’uso di autoestraenti (SFX) archivi. Documento comune icone sono utilizzate per indurre in errore le vittime e quando viene eseguito, questi file discesa ed eseguire file DLL — completo con un .ocx estensione-che comporta l’esecuzione di ulteriori payload dannosi.
TechRepublic: una Vulnerabilità in SoftNAS Cloud consente agli aggressori di bypassare l’autenticazione
I recenti attacchi di malware in grado di creare attività pianificate che corrono tutti i giorni per mantenere la persistenza su un computer infetto.
Il gruppo, come tanti altri come loro, sono continuamente cercando di evitare il rilevamento, sandboxing e il reverse-engineering sforzi dei ricercatori e sono ora di andare il miglio supplementare per tirare fuori con successo gli attacchi informatici.
“OceanLotus è molto attiva e in continua evoluzione,” ESET dice. “Il gruppo è molto focalizzato su vari loro strumenti e le esche. Hanno abilmente avvolgere il loro payload con documenti interessanti fondata su eventi attuali, che potrebbero essere di interesse per i loro vittime. Inoltre, essi continuare a migliorare le loro tecniche per ridurre il numero di manufatti abbandonati a loro vittime, le macchine, riducendo così la probabilità di rilevamento da parte di prodotti per la sicurezza.”
CNET: Il Huawei polemiche: Tutto ciò che devi sapere
Nel mese di aprile, i ricercatori hanno pubblicato un indagine in un nuovo MacOS backdoor soprannominato OSX_OCEANLOTUS.D, che si crede di essere opera dello stesso gruppo. La backdoor è predisposto per essere un Vietnamita organizzazione che promuove l’indipendenza nazionale.
Precedente e relativa copertura
La minaccia globale del gruppo Fin7 torna con nuovi SQLRat malware
CUJO Smart Firewall vulnerabilità esposti casa reti per gli attacchi critici
Banca hacker del team con lo scopo di diffondere finanziari Trojan in tutto il mondo
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati