Maestro Roberto - Tecnologie e didattica

Per iscriversi alla newsletter Maestro Roberto inviare una mail all'indirizzo info@robertosconocchini.it con oggetto Iscrizione newsletter e testo vuoto

OceanLotus: vecchie tecniche, nuova minaccia online E-mail
Risorse - Sicurezza
Scritto da Administrator   
Giovedì 22 Marzo 2018 14:01
smaller text tool iconmedium text tool iconlarger text tool icon

E' stato individuato e analizzato un nuovo kit di strumenti dannosi utilizzato dal gruppo Advanced Persistent Threat (APT) noto anche come OceanLotus.
Questo gruppo nel tempo ha distribuito moltissimi malware prendendo di mira obiettivi aziendali e governativi di alto profilo soprattutto nel Sud-Est asiatico, in particolare nel Vietnam, Filippine, Laos e Cambogia. Il gruppo apparentemente molto competente e determinato, spesso assunto come vietnamita, è noto per aver integrato le sue creazioni personalizzate con tecniche note con lo scopo di ottenere il maggior successo possibile.

OceanLotus non si è limitato alla sola creazione di malware, ma ha allargato il proprio campo di azione al cyber spionaggio e al furto di proprietà intellettuale. Una delle ultime backdoor del gruppo è uno strumento dannoso completo che offre agli operatori l'accesso remoto alla macchina compromessa; essa contiene una suite di funzionalità, tra cui diversi strumenti per la manipolazione di file, del registro e dei processi, nonché per il caricamento di componenti aggiuntivi.

Per distribuire la backdoor su una determinata macchina, il gruppo usa un attacco a due stadi, nel primo dei quali viene rilasciato un dropper che permetterà l’installazione della backdoor stessa nel sistema durante la seconda fase. Questa operazione viene completata sfruttando dei trucchi comunemente usati in attacchi di questo tipo.
L'attacco inizia in genere con un tentativo di indurre la vittima ad eseguire il dropper - molto probabilmente tramite un'email di spear phishing - allegato al messaggio. Per aumentare la probabilità che l’ignara vittima clicchi sul file, questo eseguibile pericoloso viene opportunamente mascherato per presentarsi come un documento o un foglio di calcolo a cui viene abbinata una falsa icona.
Quando la vittima clicca sull’allegato, il dropper apre un documento protetto da una password impostata per distogliere l'attenzione della vittima, mentre lo stesso dropper continua nelle sue pericolose attività. Non sono necessari exploit software.
Per rendere meno prevedibile la rilevazione, i criminali utilizzano molteplici tipi di documenti. Sempre per migliorarne la credibilità e presunta affidabilità, a ogni file viene assegnato un nome piuttosto elaborato, di solito inglese. ESET rileva questi file come Win32/TrojanDropper.Agent.RUI .
Inoltre, OceanLotus è noto anche per l'uso di attacchi da watering hole, che sfruttano una versione compromessa di un sito Web che la vittima probabilmente visiterà. In questo scenario, la vittima viene ingannata e portata al download e all'esecuzione di un falso programma di installazione o di un falso aggiornamento di software.

Una volta istallata, la backdoor acquisisce una fingerprint (impronta digitale) del sistema. Poi invia al proprio server di comando e controllo vari dati, come il nome del computer, i nomi utente e la versione del sistema operativo, per poi attendere che vengano eseguite tutte le sue attività principali.

Per queste attività lo stesso server C&C utilizza diversi nomi di dominio e indirizzi IP. Tutte le comunicazioni con il server C & C sono crittografate ma la decodifica è molto semplice, poiché la chiave di decrittografia viene anteposta ai dati.

Per maggiori dettagli sull'argomento, cliccate qui

 

Fonte: ESET
 

 

Articoli correlati

Written on 16 Giugno 2022, 15.54 by maestroroberto
Sappiamo bene come sia molto complicato eliminare qualcosa che abbiamo condiviso in rete. Forse non tutti sanno che Google ora rende...
Written on 13 Agosto 2019, 15.43 by maestroroberto
Serge Tisseron, illustre psichiatra infantile, psicoanalista e autore di grandi libri di successo, tra cui "La regola del 3-6-9-12",...
Written on 15 Maggio 2022, 10.36 by maestroroberto
Ancona oggi ci sono ancora centinaia di milioni di utenti che utilizzano la stessa password per quasi tutti i loro account e abbonamenti ai...
Written on 04 Luglio 2022, 00.00 by maestroroberto
Non è la prima volta che segnalo la possibilità di rimuovere dati personali dai motori di ricerca, per questioni di...
Written on 19 Luglio 2019, 16.06 by maestroroberto
L'estate è il periodo di relax per gran parte degli Italiani che staccano la spina e si concedono un po’ di meritato...
Written on 22 Aprile 2016, 15.40 by maestroroberto
I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell'Unione Europea, hanno recentemente...