ESET: угруповання OceanLotus використовує експлоїти для вразливості у Microsoft Office (CVE-2017-11882)
ESET: угруповання OceanLotus використовує експлоїти для вразливості в Microsoft Office (CVE-2017-11882)
APT-група OceanLotus, також відома як APT32, SeaLotus, APT-C-00 і Cobalt Kitty, повернулася на кіберзлочинну арену, озброївшись новими експлоїтами, пастками і шкідливими архівами, що саморозпаковуються.
OceanLotus відома своїми атаками на організації в країнах Азії, зокрема в Лаосі, Камбоджі, В'єтнамі та на Філіппінах. Кібершпигунів цікавить збір розвідданих комерційних, урядових та політичних організацій. Серед цілей, що найбільш часто атакуються, – організації із захисту прав людини, ЗМІ та суднобудівні компанії.
Згідно з звітом ESET, цього року OceanLotus озброїлася новою тактикою. Тепер угруповання використовує експлоїти для вразливості у Microsoft Office (CVE-2017-11882), що знаходяться у відкритому доступі та пристосовані під її фішингові атаки.
Атака починається з відкриття жертвою шкідливого документа або повідомлення, тема якого підібрана таким чином, щоб, напевно, її зацікавити. Поряд із шкідливими файлами зловмисники використовують пастки – зображення та документи, що маскують справжні мотиви злочинців.
Шкідливі документи підроблені під повідомлення від ЗМІ та присвячені передвиборним кампаніям та політичним подіям. Коли жертва відкриває файл та активує макроси, на її систему встановлюється бекдор для збирання інформації.
У середині минулого року зловмисники використали в атаках PoC-експлоїт для CVE-2017-11882. Тепер дослідники виявили такий самий документ у спробі атакувати осіб, які цікавляться камбоджійською політикою.
Під час нової кампанії зловмисники також використовують шкідливе ПЗ, здатне створювати заплановані завдання кожного дня збереження персистентності на зараженому комп'ютері. За словами дослідників, OceanLotus – дуже активне угруповання, яке постійно вдосконалює свої інструменти та техніки.
