ESET analyzoval nejnovější backdoor proslulé hackerské skupiny OceanLotus
Analýzou aktivit hackerské skupiny OceanLotus, jež se ve svém nekalém působení zaměřuje především na významné společnosti a vládní instituce zemí jihovýchodní Asie, odhalili analytici společnosti ESET nový backdoor používaný touto skupinou k infiltraci do počítačů.
Skupina k řízení svého malwaru používá několik různých domén a jejich subdomén, aby zbytečně nepřitahovala pozornost na jednu doménu nebo IP adresu. Díky šifrování, obfuskaci kódu, vkládání neužitečných instrukcí a využití techniky postranního načítání dll knihoven, mohou zůstat škodlivé aktivity OceanLotus skryty pod rouškou fungování legitimní aplikace. Zatímco samotné skupině se do jisté míry daří skrývat, analýza firmy ESET odhalila její současné aktivity a způsob, jakým změnila své postupy, aby zůstaly i nadále účinné.
ESET se ve své studii detailně věnuje všem částem procesu napadení od momentu výběru cílové skupiny po finální instalaci backdooru do operačního systému. Jako první jsou popsány použité infekční vektory typu dvojitých koncovek či falešných ikon příloh ve zprávách elektronické pošty či nabídce falešných instalátorů populárních aplikací prostřednictvím napadených webových stránek. Právě na tyto techniky sází skupina během kampaně zaměřené především na uživatele ze zemí, jako jsou Vietnam, Filipíny, Laos a Kambodža.
Analýze neunikl ani několikastupňový proces infekce zneužívající legitimní digitálně podepsanou aplikaci ke spouštění stahovaných škodlivých aplikací skrytých pomocí šifrování. To vše útočníci provádějí za jediným cílem – maximálně ztížit detekci a dostat se až k vytvoření zadních vrátek pro vzdálené ovládání zařízení.
