Maestro Roberto - Tecnologie e didattica

Per iscriversi alla newsletter Maestro Roberto inviare una mail all'indirizzo info@robertosconocchini.it con oggetto Iscrizione newsletter e testo vuoto

OceanLotus: vecchie tecniche, nuova minaccia online E-mail
Risorse - Sicurezza
Scritto da Administrator   
Giovedì 22 Marzo 2018 14:01
smaller text tool iconmedium text tool iconlarger text tool icon

E' stato individuato e analizzato un nuovo kit di strumenti dannosi utilizzato dal gruppo Advanced Persistent Threat (APT) noto anche come OceanLotus.
Questo gruppo nel tempo ha distribuito moltissimi malware prendendo di mira obiettivi aziendali e governativi di alto profilo soprattutto nel Sud-Est asiatico, in particolare nel Vietnam, Filippine, Laos e Cambogia. Il gruppo apparentemente molto competente e determinato, spesso assunto come vietnamita, è noto per aver integrato le sue creazioni personalizzate con tecniche note con lo scopo di ottenere il maggior successo possibile.

OceanLotus non si è limitato alla sola creazione di malware, ma ha allargato il proprio campo di azione al cyber spionaggio e al furto di proprietà intellettuale. Una delle ultime backdoor del gruppo è uno strumento dannoso completo che offre agli operatori l'accesso remoto alla macchina compromessa; essa contiene una suite di funzionalità, tra cui diversi strumenti per la manipolazione di file, del registro e dei processi, nonché per il caricamento di componenti aggiuntivi.

Per distribuire la backdoor su una determinata macchina, il gruppo usa un attacco a due stadi, nel primo dei quali viene rilasciato un dropper che permetterà l’installazione della backdoor stessa nel sistema durante la seconda fase. Questa operazione viene completata sfruttando dei trucchi comunemente usati in attacchi di questo tipo.
L'attacco inizia in genere con un tentativo di indurre la vittima ad eseguire il dropper - molto probabilmente tramite un'email di spear phishing - allegato al messaggio. Per aumentare la probabilità che l’ignara vittima clicchi sul file, questo eseguibile pericoloso viene opportunamente mascherato per presentarsi come un documento o un foglio di calcolo a cui viene abbinata una falsa icona.
Quando la vittima clicca sull’allegato, il dropper apre un documento protetto da una password impostata per distogliere l'attenzione della vittima, mentre lo stesso dropper continua nelle sue pericolose attività. Non sono necessari exploit software.
Per rendere meno prevedibile la rilevazione, i criminali utilizzano molteplici tipi di documenti. Sempre per migliorarne la credibilità e presunta affidabilità, a ogni file viene assegnato un nome piuttosto elaborato, di solito inglese. ESET rileva questi file come Win32/TrojanDropper.Agent.RUI .
Inoltre, OceanLotus è noto anche per l'uso di attacchi da watering hole, che sfruttano una versione compromessa di un sito Web che la vittima probabilmente visiterà. In questo scenario, la vittima viene ingannata e portata al download e all'esecuzione di un falso programma di installazione o di un falso aggiornamento di software.

Una volta istallata, la backdoor acquisisce una fingerprint (impronta digitale) del sistema. Poi invia al proprio server di comando e controllo vari dati, come il nome del computer, i nomi utente e la versione del sistema operativo, per poi attendere che vengano eseguite tutte le sue attività principali.

Per queste attività lo stesso server C&C utilizza diversi nomi di dominio e indirizzi IP. Tutte le comunicazioni con il server C & C sono crittografate ma la decodifica è molto semplice, poiché la chiave di decrittografia viene anteposta ai dati.

Per maggiori dettagli sull'argomento, cliccate qui

 

Fonte: ESET
 

 

Articoli correlati

Written on 15 Giugno 2018, 16.29 by maestroroberto
Una delle ultime minacce ai nostri sistemi digitali è InvisiMole, un potente spyware in grado di trasformare il PC infetto in una...
Written on 12 Febbraio 2016, 13.58 by maestroroberto
foto: ustation.it Avete una nuova ragazza o un nuovo ragazzo? Condividete. Avete trascorso una splendida vacanza? Condividete....
Written on 02 Giugno 2017, 17.53 by maestroroberto
Sappiamo bene quanto sia importante utilizzare password sicure su tutte le piattaforme in cui siamo registrati.  Per questo, resta...
Written on 20 Luglio 2016, 17.29 by maestroroberto
Tra i principali tormentoni dell'estate 2016 un posto di primissimo piano spetta certamente a Pokemon Go, il gioco che utilizza la...
Written on 02 Febbraio 2015, 14.21 by maestroroberto
  immagine: newsbtc.com/2015/01/26/bitcoin-ransomware-ctb-locker-loose-watch-spam-folders/ Nel panorama già...
Written on 11 Novembre 2016, 17.28 by maestroroberto
Nei giorni scorsi numerosi utenti Skype hanno ricevuto e inviato messaggi di spam contenenti link al download di un software malevolo,...