Хакерская группа Sea Lotus, также известная как APT32 или OceanLotus, продолжает наводить шороху в Азиатско-Тихоокеанском регионе.

Злоумышленники орудуют с 2012 года и преимущественно проводят таргетированные атаки в отношении госсектора, НИИ, СМИ и промпредприятий Китая и стран Юго-Восточной Азии.

Причём арсенал OceanLotus достаточно широкий и включает вредоносы собственной разработки, инструменты с открытым исходным кодом, а также коммерческие продукты для осуществления своих многочисленных атак.

Как сообщили исследователи Qi Anxin, последние атаки включали использование нового загрузчика на Rust, используемого APT для инъекции троянца Cobalt Strike в оперативную память целевых систем.

Этот загрузчик показал значительные сходства с ранее идентифицированными образцами вредоносного ПО, предположительно, разработанными той же группой.

В частности, отмечена трансформация его структуры для более эффективного сокрытия связей с серверами С2, используя облачные сервисы, такие как Cloudflare, для маскировки настоящих IP-адресов.

Подробный технический анализ этих образцов показал, что они используют многоэтапный шелл-код для расшифровки и выполнения вредоносной нагрузки, содержащей Cobalt Strike.

Qi Anxin акцентировала внимание на возрастании опасности кибератак, поскольку OceanLotus активно использует достаточно изощрённые методы, в том числе шифруя полезную нагрузку и встраивая ее в "хвост" загрузчика, а также используя законные DLL для хранения вредоносного кода в памяти, что затрудняет обнаружение.

Группа также использует водяные знаки Cobalt Strike для запутывания атрибуции атак, но, как заверяют сами исследователи, продукты Qi Anxin поддерживают их обнаружение. Не пробовали, не знаем, но поверим на слово.

SecAtor

Хакерская группа Sea Lotus, также известная как APT32 или OceanLotus, продолжает наводить шороху в Азиатско-Тихоокеанском регионе.

Злоумышленники орудуют с 2012 года и преимущественно проводят таргетированные атаки в отношении госсектора, НИИ, СМИ и промпредприятий Китая и стран Юго-Восточной Азии.

Причём арсенал OceanLotus достаточно широкий и включает вредоносы собственной разработки, инструменты с открытым исходным кодом, а также коммерческие продукты для осуществления своих многочисленных атак.

Как сообщили исследователи Qi Anxin, последние атаки включали использование нового загрузчика на Rust, используемого APT для инъекции троянца Cobalt Strike в оперативную память целевых систем.

Этот загрузчик показал значительные сходства с ранее идентифицированными образцами вредоносного ПО, предположительно, разработанными той же группой.

В частности, отмечена трансформация его структуры для более эффективного сокрытия связей с серверами С2, используя облачные сервисы, такие как Cloudflare, для маскировки настоящих IP-адресов.

Подробный технический анализ этих образцов показал, что они используют многоэтапный шелл-код для расшифровки и выполнения вредоносной нагрузки, содержащей Cobalt Strike.

Qi Anxin акцентировала внимание на возрастании опасности кибератак, поскольку OceanLotus активно использует достаточно изощрённые методы, в том числе шифруя полезную нагрузку и встраивая ее в "хвост" загрузчика, а также используя законные DLL для хранения вредоносного кода в памяти, что затрудняет обнаружение.

Группа также использует водяные знаки Cobalt Strike для запутывания атрибуции атак, но, как заверяют сами исследователи, продукты Qi Anxin поддерживают их обнаружение. Не пробовали, не знаем, но поверим на слово.

Weixin Official Accounts Platform

海莲花（APT-Q-31）组织数字武器Rust加载器技术分析

奇安信威胁情报中心观察到海莲花在针对国内某目标的攻击活动中使用了由Rust编写的加载器，内存加载Cobalt Strike木马。开源平台发现了类似的恶意软件，其Rust代码、中间阶段shellcode等方面特征都与该Rust加载器高度重合。

hottg.com/true_secator/5679

9.8K viewsApr 25 at 16:30