ESET analyzoval nejnovější backdoor proslulé hackerské skupiny OceanLotus

Analýzou aktivit hackerské skupiny OceanLotus, jež se ve svém nekalém působení zaměřuje především na významné společnosti a vládní instituce zemí jihovýchodní Asie, odhalili analytici společnosti ESET nový backdoor používaný touto skupinou k infiltraci do počítačů.

Skupina Ocean Lotus použila již známé techniky, avšak takovým způsobem, který znesnadňuje jejich odhalení. ESET na toto téma vydal výzkumnou zprávu, v níž podrobně popisuje způsoby, které hackeři používají při přesvědčování uživatele ke stáhnutí a instalaci backdooru do svého zařízení, stejně jako několikastupňový proces infekce.

"Skupina OceanLotus se pokouší svoje aktivity skrývat mimo jiné i tak, že si velmi pečlivě vybírá svoje cíle, ale analýza společnosti ESET prokázala skutečný rozsah jejich kampaní," říká Alexis Dorais-Joncas, vedoucí týmu pro bezpečnostní inteligenci ve společnosti ESET.

Skupina k řízení svého malwaru používá několik různých domén a jejich subdomén, aby zbytečně nepřitahovala pozornost na jednu doménu nebo IP adresu. Díky šifrování, obfuskaci kódu, vkládání neužitečných instrukcí a využití techniky postranního načítání dll knihoven mohou zůstat škodlivé aktivity skupiny OceanLotus skryty pod rouškou fungování legitimní aplikace. Zatímco samotné skupině se do jisté míry daří skrývat, analýza společnosti ESET odhalila její současné aktivity a způsob, jakým změnila své postupy, aby zůstaly i nadále účinné.

"Zpráva společnosti ESET o těchto hrozbách poskytuje jasná a přesvědčivá data, která odhalují, že tato konkrétní skupina pracuje na neustálé aktualizaci svojí sady nástrojů a je velmi činorodá ve svých škodlivých aktivitách," dodává Romain Dumont, analytik malwaru ve společnosti ESET.

ESET se ve své studii detailně věnuje všem částem procesu napadení od momentu výběru cílové skupiny po finální instalaci backdooru do operačního systému. Jako první jsou popsány použité infekční vektory typu dvojitých koncovek či falešných ikon příloh ve zprávách elektronické pošty či nabídce falešných instalátorů populárních aplikací prostřednictvím napadených webových stránek. Právě na tyto techniky sází skupina během kampaně zaměřené především na uživatele ze zemí jako jsou Vietnam, Filipíny, Laos a Kambodža.

Analýze neunikl ani několikastupňový proces infekce zneužívající legitimní digitálně podepsanou aplikaci ke spouštění stahovaných škodlivých aplikací skrytých pomocí šifrování. To vše útočníci provádějí za jediným cílem – maximálně ztížit detekci a dostat se až k vytvoření zadních vrátek pro vzdálené ovládání zařízení.