נוזקה חדשה משתמשת בקבצים חתומים על ידי סימנטק ומקאפי
עמי רוחקס דומבה
| 14/03/2018
https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf
חוקרי האבטחה של ESET ניתחו את הקמפיין האחרון של קבוצת ההאקרים OceanLotus, הידועה בעיקר במתקפות הממוקדות במזרח אסיה.
המחקר של ESET על קבוצת האקרים הידועה גם בשם APT32 או APT C-00, הוכיח שהקבוצה משתמשת בדפוסי התנהגות זהים אבל חושף כעת דלת אחורית חדשה. החוקרים מדגישים מספר שיטות בהן משתמשת הקבוצה על מנת לשתול את הדלת האחורית ולמנוע זיהוי שלה.
OceanLotus מתמקדת לרוב במדינות מזרח אסיה, במיוחד וייטנאם, הפיליפינים, לאוס וקמבודיה. בשנה שעברה, בתקרית המכונה מבצע "Cobalt Kitty", הקבוצה התמקדה בסגל הבכיר של תאגיד גלובלי הממוקם באסיה במטרה לגנוב מידע עסקי.
המחקר החדש חושף את שיטות הפעולה בניסיון להונות קורבנות פוטנציאליים להפעלת שלב ההתקפה הראשוני של הדלת האחורית, הכוללות סיומת כפולה לשמות הקבצים על מנת להטעות את הקורבן וצירוף קבצים מזויפים (למשל Word, PDF וכו'). שלב ההתקפה הראשוני לרוב מצורף להודעת דוא"ל, למרות שנמצאו גם התקנות מזויפות ועדכוני תוכנה המשמשים לשתול את אותו רכיב של הדלת האחורית.
המחקר מדגים כיצד הדלת האחורית האחרונה של OceanLotus מסוגלת להטמיע את המטען הזדוני שלה במערכת. תהליך ההתקנה שלה מסתמך במידה רבה על קובץ מזויף שנשלח לקורבן פוטנציאלי.
"הפעילות של OceanLotus מדגימה את כוונתה להישאר מוסווית על ידי בחירת המטרות שלה בקפידה, אך המחקר של ESET חושף את הפעילויות המיועדות שלה", אומר אלקסיס דוריס-ג'ונקאס, ראש צוות המודיעין ב- ESET.
הקוד הזדוני מוסווה באמצעות הצפנת המטען הזדוני בנוסף לשיוך של ההליך לתהליכים מוכרים ותקינים במערכת ההפעלה. כך הפעילות של OceanLotus יכולה להישאר מתחת לראדר. הקבוצה גם פועלת כדי להגביל את ההפצה של הנוזקות שלהם ולהשתמש במספר שרתים שונים כדי למנוע משיכת תשומת לב לדומיין אחד או לכתובת IP ספציפית.
בעוד קבוצת ההאקרים הצליחה במידה מסוימת להישאר מוסווית, המחקר של ESET מדגיש את הפעילות המתמשכת שלהם וכיצד הם שינו אותה כדי להישאר יעילים. "מערך מודיעין האיומים שלESET סיפק נתונים חד-משמעיים שמראים שהקבוצה הספציפית הזו עדכנה את ערכת הכלים שלה, ועדיין פעילה מאוד בתחום הנוזקות", מוסיף רומיין דומון, חוקר נוזקות ב-ESET.
תוכלו לקרוא עוד על המחקר של ESET על פעילותה של OceanLotus כאן.
https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf
חוקרי האבטחה של ESET ניתחו את הקמפיין האחרון של קבוצת ההאקרים OceanLotus, הידועה בעיקר במתקפות הממוקדות במזרח אסיה.
המחקר של ESET על קבוצת האקרים הידועה גם בשם APT32 או APT C-00, הוכיח שהקבוצה משתמשת בדפוסי התנהגות זהים אבל חושף כעת דלת אחורית חדשה. החוקרים מדגישים מספר שיטות בהן משתמשת הקבוצה על מנת לשתול את הדלת האחורית ולמנוע זיהוי שלה.
OceanLotus מתמקדת לרוב במדינות מזרח אסיה, במיוחד וייטנאם, הפיליפינים, לאוס וקמבודיה. בשנה שעברה, בתקרית המכונה מבצע "Cobalt Kitty", הקבוצה התמקדה בסגל הבכיר של תאגיד גלובלי הממוקם באסיה במטרה לגנוב מידע עסקי.
המחקר החדש חושף את שיטות הפעולה בניסיון להונות קורבנות פוטנציאליים להפעלת שלב ההתקפה הראשוני של הדלת האחורית, הכוללות סיומת כפולה לשמות הקבצים על מנת להטעות את הקורבן וצירוף קבצים מזויפים (למשל Word, PDF וכו'). שלב ההתקפה הראשוני לרוב מצורף להודעת דוא"ל, למרות שנמצאו גם התקנות מזויפות ועדכוני תוכנה המשמשים לשתול את אותו רכיב של הדלת האחורית.
המחקר מדגים כיצד הדלת האחורית האחרונה של OceanLotus מסוגלת להטמיע את המטען הזדוני שלה במערכת. תהליך ההתקנה שלה מסתמך במידה רבה על קובץ מזויף שנשלח לקורבן פוטנציאלי.
"הפעילות של OceanLotus מדגימה את כוונתה להישאר מוסווית על ידי בחירת המטרות שלה בקפידה, אך המחקר של ESET חושף את הפעילויות המיועדות שלה", אומר אלקסיס דוריס-ג'ונקאס, ראש צוות המודיעין ב- ESET.
הקוד הזדוני מוסווה באמצעות הצפנת המטען הזדוני בנוסף לשיוך של ההליך לתהליכים מוכרים ותקינים במערכת ההפעלה. כך הפעילות של OceanLotus יכולה להישאר מתחת לראדר. הקבוצה גם פועלת כדי להגביל את ההפצה של הנוזקות שלהם ולהשתמש במספר שרתים שונים כדי למנוע משיכת תשומת לב לדומיין אחד או לכתובת IP ספציפית.
בעוד קבוצת ההאקרים הצליחה במידה מסוימת להישאר מוסווית, המחקר של ESET מדגיש את הפעילות המתמשכת שלהם וכיצד הם שינו אותה כדי להישאר יעילים. "מערך מודיעין האיומים שלESET סיפק נתונים חד-משמעיים שמראים שהקבוצה הספציפית הזו עדכנה את ערכת הכלים שלה, ועדיין פעילה מאוד בתחום הנוזקות", מוסיף רומיין דומון, חוקר נוזקות ב-ESET.
תוכלו לקרוא עוד על המחקר של ESET על פעילותה של OceanLotus כאן.
