APT-группа OceanLotus эксплуатирует уязвимость в Microsoft Office

5

APT-группа OceanLotus эксплуатирует уязвимость в Microsoft Office

Группировка использует эксплоиты для уязвимости в Microsoft Office (CVE-2017-11882).


APT-группа OceanLotus, также известная как APT32, SeaLotus, APT-C-00 и Cobalt Kitty, вернулась на киберпреступную арену, вооружившись новыми эксплоитами, ловушками и самораспаковывающимися вредоносными архивами.

OceanLotus известна своими атаками на организации в странах Азии, в частности в Лаосе, Камбодже, Вьетнаме и на Филиппинах. Кибершпионов интересует сбор разведданных коммерческих, правительственных и политических организаций. Среди наиболее часто атакуемых целей – организации по защите прав человека, СМИ и судостроительные компании.

Согласно отчету ESET, в нынешнем году OceanLotus вооружилась новой тактикой. Теперь группировка использует эксплоиты для уязвимости в Microsoft Office (CVE-2017-11882), находящиеся в открытом доступе и приспособленные под ее фишинговые атаки.

Атака начинается с открытия жертвой вредоносного документа или сообщения, тема которого подобрана таким образом, чтобы наверняка ее заинтересовать. Наряду с вредоносными файлами злоумышленники используют ловушки – изображения и документы, маскирующие истинные мотивы преступников.

Вредоносные документы подделаны под сообщения от СМИ и посвящены предвыборным кампаниям и политическим событиям. Когда жертва открывает файл и активирует макросы, на ее систему устанавливается бэкдор для сбора информации.

В середине прошлого года злоумышленники использовали в атаках PoC-эксплоит для CVE-2017-11882. Теперь исследователи обнаружили такой же документ в попытке атаковать лиц, интересующихся камбоджийской политикой.

В ходе новой кампании злоумышленники также используют вредоносное ПО, способное создавать запланированные задачи на каждый день для сохранения персистентности на зараженном компьютере. По словам исследователей, OceanLotus – очень активная группировка, постоянно совершенствующая свои инструменты и техники.