Um grupo de investigadores da ESET dissecaram algumas das últimas novidades do kit malicioso do grupo Advanced Persistent Threat (APT) , conhecido como OceanLotus, também apelidado de APT32 e APT-C-00.

A OceanLotus é um grupo que dissemina bastantes malwares e tem a mira bem fixada em objetivos corporativos e governamentais de alto perfil no Sudeste Asiático, particularmente no Vietname, nas Filipinas, no Laos e no Camboja. Este grupo é conhecido por integrar técnicas de engenharia de malware já conhecidas nas suas criações e campanhas maliciosas.

A OceanLotus está imperável, e continua a perseguir os seus grandes objetivos que incluem ciberespionagem, reconhecimento e roubo de propriedade intelectual. Uma das backdoors mais recentes do grupo é uma ferramenta maliciosa que permite obter acesso remoto a uma máquina comprometida. A backdoor contém um conjunto de funcionalidades, nomeadamente uma série de ferramentas para manipulação de arquivos, registos e processos, bem como o carregamento de componentes adicionais.

 

O ataque  começa com uma tentativa – provavelmente através de um e-mail spearphishing – para atrair a vítima pretendida a executar o ficheiro malicioso que está em anexo no e-mail.

Quando a vítima clica no ficheiro malicioso, é aberto um ficheiro protegido por password, apenas para chamar a atenção da vítima, enquanto o malware trata de efetuar as operações maliciosas em segundo plano.

The attackers use a number of decoy documents. To boost its aura of authenticity, each file has a rather carefully crafted – and usually English – name. ESET detects the files as Win32/TrojanDropper.Agent.RUI.

Figure-1-Dropper-execution-flow

O whitepaper pode ser consultado neste endereço: OceanLotus: Old techniques, new backdoor.