Hackerská skupina, známa pod pseudonymom APT32 alebo OceanLotus, uviedla na scénu novú verziu škodlivého hackerského nástroja.
K tomuto zisteniu dospeli výskumníci z kyberbezpečnostnej spoločnosti Trend Micro, ktorým sa ho podarilo odhaliť na základe útokov na desktopový operačný systém spoločnosti Apple MacOS.
S pôvodnými variantami malvéru zdieľa tento vynovený mladší brat podobnosti v kóde a správaní, čo indikuje jeho rovnakého pôvodcu.
„Keďže dokument šírený týmito páchateľmi je vo vietnamskom jazyku, potencionálnymi obeťami sú veľmi pravdepodobne výlučne vietnamské ciele,“ hodnotia výskumníci.
Názov súboru obsahuje vietnamskú frázu „tìm nhà Chị Ngọc”, ktorej voľný preklad znamená „nájdi dom pána Ngoc“.
Viacstupňová forma útoku
Akcia sa začína rozposlaním pishingových emailov v snahe podnietiť obeť k otvoreniu ZIP súboru, v ktorom je skrytý škodlivý softvér.
V momente, keď sa malvér spustí, začne fungovať ako zadné vrátka a aktivuje druhostupňové užitočné zaťaženie. Následne dôjde k aktivácii tretieho stupňa – malvéru, ktorý zo zariadenia získava dáta.
Viacstupňový proces inštalácie zároveň efektívne bráni v odhalení páchateľa.
Nová verzia sa podobne ako stará skladá z dvoch funkcií. Prvou je získavanie a odosielanie systémových informácií na C&C server, ktorý do napadnutého zariadenia odosiela aj dodatočné pokyny.
V prípade druhej ide o zbieranie údajov o operačnom systéme, procesore, pamäti, sériových číslach a sieťových MAC adresách.
Aktualizácia však disponuje aj novými funkciami – zbieraním informácií o veľkosti zložiek, možnosťou odstraňovať a pridávať zložky, sťahovať a spúšťať súbory či získavať konfiguračné údaje o zariadení.
Majstri v krytí
Z aktivít APT32 je možné vyčítať neustále zdokonaľovanie taktík a takisto rozširovanie cieľov útokov aj za hranice krajiny svojho pôvodu.
Na domácej pôde sa vietnamská skupina zameriava na zahraničné spoločnosti z oblasti médií, výskumu či výroby so zámerom špionáže a zisku interných dát pre lokálne, národné firmy.
Do povedomia širokej verejnosti sa skupina dostala najmä so svojimi pokusmi o nabúranie svetoznámych automobiliek či snahou o získanie čínskych údajov o koronavíruse.
APT32 sa stáva rafinovanou taktiež vďaka využívaniu šikovných a inovatívnych foriem krytia.
Ide napríklad o šírenie malvérov skrz falošné spravodajské stránky či aplikácie dostupné v Google Play Store. V rámci týchto útokov ako je ako maskovanie používaná ikona programu Microsoft Word.
Ďalším spôsobom krytia je pridanie zvláštnych znakov v rámci názvu balíka aplikácie. Celý program je teda nadizajnovaný tak, aby ho nebolo možné odhaliť antivírovým softvérom.
Ako jedinú obranu voči tomuto malvéru odporúča skupina expertov zvýšenú pozornosť pri otváraní príloh doručených emailov a pozorné kontrolovanie ich zdroja.
Na škodu takisto nie je pravidelné aktualizovanie softvéru a operačného systému, čo prispieva k odstraňovaniu nedostatkov, ktoré by mohli hackeri zneužiť.
Jana Tuhrinová