נחשפה פעילות חדשה של קבוצת האקרים מוכרת באסיה
מאת:
מערכת Telecom News, 14.3.18, 16:52
ניתוח הקמפיין האחרון של קבוצת ההאקרים OceanLotus. הוצגו מספר שיטות בהן משתמשת הקבוצה כדי לשתול את הדלת האחורית ולמנוע זיהוי שלה.
חוקרי האבטחה של
ESET ניתחו את הקמפיין האחרון של קבוצת ההאקרים
OceanLotus, שידועה בעיקר במתקפות הממוקדות במזרח אסיה.
המחקר של
ESET על קבוצת האקרים, השידועה גם בשם
APT32 או
APT C-00, הוכיח, שהקבוצה משתמשת בדפוסי התנהגות זהים אבל חושף כעת דלת אחורית חדשה. החוקרים מדגישים מספר שיטות בהן משתמשת הקבוצה כדי לשתול את הדלת האחורית ולמנוע זיהוי שלה.
OceanLotus מתמקדת לרוב במדינות מזרח אסיה, במיוחד וייטנאם, הפיליפינים, לאוס וקמבודיה. בשנה שעברה, בתקרית המכונה מבצע
Cobalt Kitty"", הקבוצה התמקדה בסגל הבכיר של תאגיד גלובלי הממוקם באסיה במטרה לגנוב מידע עסקי.
המחקר החדש חושף את שיטות הפעולה בניסיון להונות קורבנות פוטנציאליים להפעלת שלב ההתקפה הראשוני של הדלת האחורית, שכוללות סיומת כפולה לשמות הקבצים כדי להטעות את הקורבן וצירוף קבצים מזויפים (למשל
Word, PDF וכו').
שלב ההתקפה הראשוני לרוב מצורף להודעת דוא"ל, למרות שנמצאו גם התקנות מזויפות ועדכוני תוכנה המשמשים לשתול את אותו רכיב של הדלת האחורית.
המחקר מדגים כיצד הדלת האחורית האחרונה של
OceanLotus מסוגלת להטמיע את המטען הזדוני שלה במערכת. תהליך ההתקנה שלה מסתמך במידה רבה על קובץ מזויף שנשלח לקורבן פוטנציאלי.
אלקסיס דוריס-ג'ונקאס, ראש צוות המודיעין ב-
ESET: "הפעילות של
OceanLotus מדגימה את כוונתה להישאר מוסווית ע"י בחירת המטרות שלה בקפידה, אך המחקר של החברה חושף את הפעילויות המיועדות שלה. הקוד הזדוני מוסווה באמצעות הצפנת המטען הזדוני בנוסף לשיוך של ההליך לתהליכים מוכרים ותקינים במערכת ההפעלה. כך הפעילות של
OceanLotus יכולה להישאר מתחת לרדאר. הקבוצה גם פועלת כדי להגביל את ההפצה של הנוזקות שלה ולהשתמש במספר שרתים שונים כדי למנוע משיכת תשומת לב לדומיין אחד או לכתובת
IP ספציפית".
רומיין דומון, חוקר נוזקות ב-
ESET: "בעוד קבוצת ההאקרים הצליחה במידה מסוימת להישאר מוסווית, המחקר של החברה מדגיש את הפעילות המתמשכת שלה וכיצד היא שינתה אותה כדי להישאר יעילים. מערך מודיעין האיומים של החברה סיפק נתונים חד-משמעיים המראים, שהקבוצה הספציפית הזו עדכנה את ערכת הכלים שלה, ועדיין פעילה מאוד בתחום הנוזקות".
עוד על המחקר על פעילותה של
OceanLotus -
כאן. המחקר המלא –
כאן.