|
E' stato individuato e analizzato un nuovo kit di strumenti dannosi utilizzato dal gruppo Advanced Persistent Threat (APT) noto anche come OceanLotus.
Questo gruppo nel tempo ha distribuito moltissimi malware prendendo di mira obiettivi aziendali e governativi di alto profilo soprattutto nel Sud-Est asiatico, in particolare nel Vietnam, Filippine, Laos e Cambogia. Il gruppo apparentemente molto competente e determinato, spesso assunto come vietnamita, è noto per aver integrato le sue creazioni personalizzate con tecniche note con lo scopo di ottenere il maggior successo possibile.
OceanLotus non si è limitato alla sola creazione di malware, ma ha allargato il proprio campo di azione al cyber spionaggio e al furto di proprietà intellettuale. Una delle ultime backdoor del gruppo è uno strumento dannoso completo che offre agli operatori l'accesso remoto alla macchina compromessa; essa contiene una suite di funzionalità, tra cui diversi strumenti per la manipolazione di file, del registro e dei processi, nonché per il caricamento di componenti aggiuntivi.
Per distribuire la backdoor su una determinata macchina, il gruppo usa un attacco a due stadi, nel primo dei quali viene rilasciato un dropper che permetterà l’installazione della backdoor stessa nel sistema durante la seconda fase. Questa operazione viene completata sfruttando dei trucchi comunemente usati in attacchi di questo tipo.
L'attacco inizia in genere con un tentativo di indurre la vittima ad eseguire il dropper - molto probabilmente tramite un'email di spear phishing - allegato al messaggio. Per aumentare la probabilità che l’ignara vittima clicchi sul file, questo eseguibile pericoloso viene opportunamente mascherato per presentarsi come un documento o un foglio di calcolo a cui viene abbinata una falsa icona.
Quando la vittima clicca sull’allegato, il dropper apre un documento protetto da una password impostata per distogliere l'attenzione della vittima, mentre lo stesso dropper continua nelle sue pericolose attività. Non sono necessari exploit software.
Per rendere meno prevedibile la rilevazione, i criminali utilizzano molteplici tipi di documenti. Sempre per migliorarne la credibilità e presunta affidabilità, a ogni file viene assegnato un nome piuttosto elaborato, di solito inglese. ESET rileva questi file come Win32/TrojanDropper.Agent.RUI .
Inoltre, OceanLotus è noto anche per l'uso di attacchi da watering hole, che sfruttano una versione compromessa di un sito Web che la vittima probabilmente visiterà. In questo scenario, la vittima viene ingannata e portata al download e all'esecuzione di un falso programma di installazione o di un falso aggiornamento di software.
Una volta istallata, la backdoor acquisisce una fingerprint (impronta digitale) del sistema. Poi invia al proprio server di comando e controllo vari dati, come il nome del computer, i nomi utente e la versione del sistema operativo, per poi attendere che vengano eseguite tutte le sue attività principali.
Per queste attività lo stesso server C&C utilizza diversi nomi di dominio e indirizzi IP. Tutte le comunicazioni con il server C & C sono crittografate ma la decodifica è molto semplice, poiché la chiave di decrittografia viene anteposta ai dati.
Per maggiori dettagli sull'argomento, cliccate qui
Fonte: ESET
Articoli correlati
Written on 17 Giugno 2016, 16.17 by maestroroberto 
Il bullismo è da sempre un comportamento violento, fisico o psicologico, che viene solitamente messo in atto verso i soggetti... Written on 30 Maggio 2017, 20.06 by maestroroberto 
Il vamping, ovvero la tendenza dei ragazzi a navigare su Internet durante la notte - e già diffusa tra gli adolescenti - ha ora contagiato... Written on 27 Luglio 2017, 17.21 by maestroroberto 
I ricercatori di ESET hanno identificato Stantinko, una backdoor modulare che attraverso un complesso sistema di infezione spinge le vittime... Written on 07 Maggio 2020, 16.31 by maestroroberto 
Con il boom dei dispositivi mobili, soprattutto degli smartphone, l’aspetto legato alla sicurezza riveste un ruolo fondamentale nella... Written on 18 Settembre 2015, 15.10 by maestroroberto 
Puo' un computer entrare nel mondo delle fiabe? Certo che sì! Soprattutto se lo scopo di questa storia è proprio quello di... Written on 17 Ottobre 2019, 18.25 by maestroroberto 
Quanto sono sicure le password che usate tutti i giorni? Come crearne di nuove e inattccabili?
Ve lo spiega Password Meter, uno dei...
|
