|
E' stato individuato e analizzato un nuovo kit di strumenti dannosi utilizzato dal gruppo Advanced Persistent Threat (APT) noto anche come OceanLotus.
Questo gruppo nel tempo ha distribuito moltissimi malware prendendo di mira obiettivi aziendali e governativi di alto profilo soprattutto nel Sud-Est asiatico, in particolare nel Vietnam, Filippine, Laos e Cambogia. Il gruppo apparentemente molto competente e determinato, spesso assunto come vietnamita, è noto per aver integrato le sue creazioni personalizzate con tecniche note con lo scopo di ottenere il maggior successo possibile.
OceanLotus non si è limitato alla sola creazione di malware, ma ha allargato il proprio campo di azione al cyber spionaggio e al furto di proprietà intellettuale. Una delle ultime backdoor del gruppo è uno strumento dannoso completo che offre agli operatori l'accesso remoto alla macchina compromessa; essa contiene una suite di funzionalità, tra cui diversi strumenti per la manipolazione di file, del registro e dei processi, nonché per il caricamento di componenti aggiuntivi.
Per distribuire la backdoor su una determinata macchina, il gruppo usa un attacco a due stadi, nel primo dei quali viene rilasciato un dropper che permetterà l’installazione della backdoor stessa nel sistema durante la seconda fase. Questa operazione viene completata sfruttando dei trucchi comunemente usati in attacchi di questo tipo.
L'attacco inizia in genere con un tentativo di indurre la vittima ad eseguire il dropper - molto probabilmente tramite un'email di spear phishing - allegato al messaggio. Per aumentare la probabilità che l’ignara vittima clicchi sul file, questo eseguibile pericoloso viene opportunamente mascherato per presentarsi come un documento o un foglio di calcolo a cui viene abbinata una falsa icona.
Quando la vittima clicca sull’allegato, il dropper apre un documento protetto da una password impostata per distogliere l'attenzione della vittima, mentre lo stesso dropper continua nelle sue pericolose attività. Non sono necessari exploit software.
Per rendere meno prevedibile la rilevazione, i criminali utilizzano molteplici tipi di documenti. Sempre per migliorarne la credibilità e presunta affidabilità, a ogni file viene assegnato un nome piuttosto elaborato, di solito inglese. ESET rileva questi file come Win32/TrojanDropper.Agent.RUI .
Inoltre, OceanLotus è noto anche per l'uso di attacchi da watering hole, che sfruttano una versione compromessa di un sito Web che la vittima probabilmente visiterà. In questo scenario, la vittima viene ingannata e portata al download e all'esecuzione di un falso programma di installazione o di un falso aggiornamento di software.
Una volta istallata, la backdoor acquisisce una fingerprint (impronta digitale) del sistema. Poi invia al proprio server di comando e controllo vari dati, come il nome del computer, i nomi utente e la versione del sistema operativo, per poi attendere che vengano eseguite tutte le sue attività principali.
Per queste attività lo stesso server C&C utilizza diversi nomi di dominio e indirizzi IP. Tutte le comunicazioni con il server C & C sono crittografate ma la decodifica è molto semplice, poiché la chiave di decrittografia viene anteposta ai dati.
Per maggiori dettagli sull'argomento, cliccate qui
Fonte: ESET
Articoli correlati
Written on 12 Febbraio 2016, 13.58 by maestroroberto 
foto: ustation.it
Avete una nuova ragazza o un nuovo ragazzo? Condividete. Avete trascorso una splendida vacanza? Condividete.... Written on 07 Giugno 2017, 19.30 by maestroroberto 
Nell’ultimo mese dal 30% al 45% dei navigatori italiani sono stati colpiti da una nuova minaccia, proveniente in particolare dai... Written on 27 Maggio 2015, 15.18 by maestroroberto 
Kids Place è uno strumento a disposizione dei genitori per proteggere i loro piccoli quando accedono a Internet o utilizzano le loro... Written on 20 Luglio 2020, 17.18 by maestroroberto 
Il Quadro di riferimento per le competenze digitali dei cittadini (DigComp 2.1), prevede 5 aree tra cui una interamente dedicata alla... Written on 30 Maggio 2017, 20.06 by maestroroberto 
Il vamping, ovvero la tendenza dei ragazzi a navigare su Internet durante la notte - e già diffusa tra gli adolescenti - ha ora contagiato... Written on 13 Maggio 2018, 10.26 by maestroroberto 
Aprire un'e-mail, di questi tempi, può essere un azzardo! Ogni giorno infatti riceviamo sempre più messaggi su diversi temi, ma...
|
