Tornano alla ribalta gli hacker di APT 32, anche noti come Ocean Lotus. Si ritiene siano vietnamiti e attaccano soprattutto nel Sud-est Asiatico
Tornano alla ribalta gli hacker di APT 32, anche noti come Ocean Lotus. I ricercatori di sicurezza informatica di ESET hanno individuato e analizzato alcune modifiche apportate al kit di strumenti dannosi utilizzato dal gruppo, che si ritiene presumibilmente sia vietnamita. La formazione nel tempo ha lanciato numerosi cyber attacchi e distribuito malware, prendendo di mira obiettivi aziendali e governativi di alto profilo. Soprattutto nel Sud-Est asiatico, in particolare in Vietnam, Filippine, Laos e Cambogia. Peraltro, Ocean Lotus non usa solo TTP proprie. Ma le integra con altre usate de hacker differenti. Ciò da una parte migliora le chances di successo. Dall’altra rende più difficile l’attribuzione degli incidenti informatici. C’è il forte sospetto, infatti, che i vari gruppi “state sponsored” dialoghino tra loro e a volte attacchino gli stessi bersagli. Cooperando e scambiandosi da intel a strumenti.
Ocean Lotus ha allargato il suo raggio d’azione al cyber spionaggio, alla ricognizione di possibili bersagli e al furto di proprietà intellettuale
OceanLotus, secondo Eset, non si è limitato alla sola creazione di malware. Ma ha allargato il proprio raggio d’azione al cyber spionaggio, alla ricognizione di possibili bersagli e al furto di proprietà intellettuale. Una delle ultime backdoor del gruppo è uno strumento completo, che offre agli hacker malevoli l’accesso remoto alla macchina compromessa. Essa contiene una suite di funzionalità, tra cui diversi strumenti per la manipolazione di file, del registro e dei processi, nonché per il caricamento di componenti aggiuntivi.
ESET spiega il modus operandi di APT 32 e come fanno gli hacker a inoculare la backdoor
Per inoculare la backdoor su un bersaglio prescelto, APT 32 usa un attacco a due stadi. Nel primo viene rilasciato un dropper, che permetterà l’installazione del malware nel sistema durante la seconda fase. L’attacco informativo comincia solitamente con un tentativo di indurre la vittima a eseguire il dropper (presumibilmente tramite email di spear phishing) allegato al messaggio. Per aumentare la probabilità che la vittima apra il file, Ocean Lotus lo “traveste”da documento o foglio di calcolo a cui viene abbinata una falsa icona. Una volta cliccato l’allegato malevolo, spiegano i ricercatori di sicurezza informatica di ESET, il dropper apre un documento protetto da una password impostata per distogliere l’attenzione della vittima. Intanto, lo stesso dropper continua le sue attività. Una volta istallata, la backdoor acquisisce la fingerprint del sistema e invia al proprio server di comando e controllo vari dati su macchina e sistema. Poi può cominciare il cyber spionaggio.
Le cyber spie impiegano molteplici tipi di esche sia nello spear phishing sia nel watering hole
Ocean Lotus usa, peraltro, molteplici tipi di documento “esca” per rendere meno prevedibile la rilevazione. Inoltre, APT 32 per migliorarne la credibilità assegna ai file un nome piuttosto elaborato, di solito inglese. ESET ricorda anche che gli hacker malevoli sono noti per usare cyber attacchi da watering hole. Questi sfruttano una versione compromessa di un sito web che la vittima tradizionalmente visita, all’interno del quale è inserito il malware. Lo fanno grazie a un largo uso della social engineering, per tracciare un profilo più completo possibile del bersaglio.
Grazie all’operazione Cobalt Kitty nel 2017 si è scoperto qualcosa di più su APT 32
Il post dettagliato di ESET in cui si spiega il modus operandi degli hacker