Het indelen van malware bestrijding van cyber bedreigingen
Dr. Lorenzo Cavallaro, hoogleraar computer science stoel in cybersecurity aan King ‘ s College in Londen, breekt het belang van de indeling van malware om het verwerken van cyber bedreigingen met Tonya Hall.
De OceanLotus hacken van de groep is terug met een nieuwe campagne in 2019 compleet met nieuwe exploits, lokvogels en self-extracting schadelijke archieven.
Ook bekend als APT32, SeaLotus, APT-C-00, en Kobalt Kitty, OceanLotus is een hack groep die actief is in Azië en richt zich op het verzamelen van waardevolle intel op bedrijfsleven, overheid en politieke entiteiten in Vietnam, de Filippijnen, Laos en Cambodja.
De rechten van de mens outfits, de media, onderzoeksinstituten en maritieme bouw bedrijven zijn de hackers’ gewenste doelen en verleden aanvallen tegen deze types van organisaties die zijn gekoppeld aan hun campagnes.
De dreigingen zijn het benutten van nieuwe tactiek dit jaar. ESET onderzoekers zei in een blog post op woensdag dat van bijzonder belang is het gebruik van openbaar beschikbare exploits voor een kwetsbaarheid voor geheugenbeschadiging aanwezig in Microsoft Office, CVE-2017-11882, die is afgestemd voor gebruik in OceanLotus phishing-pogingen.
OceanLotus begint de infectie reis door het gebruik van frauduleuze documenten en phishing-berichten die slachtoffers vinden “aantrekkelijk”, aldus het team. Tijdens phishing, de dreiging van de groep kunnen ook gebruik maken van “decoy” documenten en afbeeldingen, verzonden naast schadelijke bestanden, om verder te verhullen hun ware bedoelingen.
Zie ook: EU-websites van de overheid besmet met derden adtech scripts
Deze omvatten berichten en documenten met betrekking tot media contact informatie, demonstraties en politieke gebeurtenissen. Als een slachtoffer wordt verleid en zowel het openen van een kwaadaardig bestand en kunt macro ‘ s, deze installeert een achterdeur staat van toezicht en heimelijke gegevensverplaatsing.
Een van de groep phishing documenten gebruikt in een campagne die plaatsvinden In het midden-2018 gebruikt proof-of-concept (PoC) code openbaar gemaakt voor CVE-2017-11882, een geheugen en object handling probleem, die kan resulteren in verlies van gegevens. Nu, gelijksoortige documenten die zijn verschenen in aanvallen dit jaar plaatsvinden die zich richt op partijen die geïnteresseerd zijn in de Cambodjaanse politiek.
OceanLotus heeft ook gediversifieerde de toolset met niet alleen de macro-beladen documenten en dubbele extensie bestanden, maar ook het gebruik van de self-extracting (SFX) zijn archieven. Common document pictogrammen worden gebruikt om misleiding van slachtoffers en wanneer het wordt uitgevoerd, worden deze bestanden neerzetten en uitvoeren van DLL-bestanden — compleet met een .ocx extensie — die resultaten in de uitvoering van overige schadelijke lading.
TechRepublic: Beveiligingsprobleem in SoftNAS Cloud biedt aanvallers de mogelijkheid te omzeilen verificatie
Recente aanvallen ook het gebruik van malware kunnen maken van geplande taken die dagelijks wordt onderhouden persistentie op een geïnfecteerde computer.
De groep, zoals vele andere, worden voortdurend probeert om detectie te voorkomen, sandboxing en de reverse-engineering inspanningen van onderzoekers en nu gaan de extra mijl te trekken uit succesvolle cyberaanvallen.
“OceanLotus is zeer actief en houdt zich ontwikkelende,” ESET zegt. “De groep echt richt zich op uiteenlopende hun toolsets en lokvogels. Ze slim wrap hun lading met aantrekkelijke documenten die zijn gebaseerd op de huidige gebeurtenissen die waarschijnlijk van belang zijn voor hun beoogde slachtoffers. Bovendien houden ze verbeteren hun technieken voor het verminderen van het aantal artefacten links op hun slachtoffers’ – machines, waardoor de kans op detectie door security producten.”
CNET: De Huawei controverse: Alles wat je moet weten
In April, onderzoekers publiceerden een onderzoek naar een nieuwe MacOS backdoor genoemd OSX_OCEANLOTUS.D die is vermoedelijk het werk zijn van dezelfde groep. De backdoor is gemaakt om lijken te zijn van een Vietnamese organisatie die bevordert nationale onafhankelijkheid.
Vorige en aanverwante dekking
Global threat groep Fin7 terug met nieuwe SQLRat malware
CUJO Slimme Firewall kwetsbaarheden bloot home netwerken voor kritische aanvallen
Bank hackers team verspreid financiële Trojaanse paarden wereldwijd
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters