Cybersecurity Malware

ปลอมในปลอม: ติดตามตัวล่อของของกลุ่มแฮกเกอร์ OceanLotus

กลุ่มแฮกเกอร์ OceanLotus หรือ APT32 กับการใช้เอกสารเพื่อแพร่กระจายมัลแวร์

นักวิจัยความปลอดภัย ESET เปิดเผยรายละเอียดล่าสุดเกี่ยวกับกลุ่มแฮกเกอร์ OceanLotus และเทคนิคในการซ่อนจากการตรวจจับ

กลุ่มแฮกเกอร์ OceanLotus หรือในชื่ออื่นๆอย่าง APT32 และ APT-C-00 พวกเขาใช้ช่องโหว่ CVE-2017-11882 ซึ่งเป็นช่องโหว่เกี่ยวกับหน่วยความจำที่อยู่ในซอฟต์แวร์ของ Microsoft Office และสามารถอาศัยอยู่ในระบบคอมพิวเตอร์ได้แบบไร้ร่องรอย

ในมุมมองของชาวโลกงานของ OceanLotus คือการใช้เอกสารปลอมหลอกเหยื่อให้เปิดไฟล์ Backdoor และมีเครื่องมือที่หลากหลาย โดยเฉพาะเทคนิค double extensions, self-extracting archive และ macro-enebled documents ที่ใช้สำหรับเจาะช่องโหว่ และมีเป้าหมายเป็นประเทศในแถบเอเชียตะวันออกเฉียงใต้

OceanLotus พัฒนาและมีการดำเนินงานตลอดเวลา พวกเขาให้ความสำคัญกับเครื่องไม้เครื่องมือและตัวล่อ แล้วใส่ทั้งหมดนี้ลงไปในเอกสารที่มีการเตรียมเอาไว้สำหรับเหยื่อแต่ละราย นอกจากนี้ยังทิ้งหลักฐานบนเครื่องของเหยื่อน้อยที่สุด หรือแม้กระทั้งหลีกเลี่ยงการตรวจจับจากผลิตภัณฑ์รักษาความปลอดภัย

Author: Romain Dumont
Source:
https://www.welivesecurity.com/2019/03/20/fake-or-fake-keeping-up-with-oceanlotus-decoys/
Translated by: Worapon H.

%d bloggers like this: