Нашите специалисти засякоха шпионска малуер кампания, която се използва за профилиране на потребители от две страни в Югоизточна Азия.
Имаме основание да вярваме, че организатор на атаката е хакерската група OceanLotus, позната и като APT32. За съществуването й се знае от 2012 г., но популярността й нарасна през 2017 г. Тогава стана ясно, че OceanLotus е отговорна за масирана кампания по следене и профилиране на потребители в същия регион.
21 засегнати сайта
Става дума за т.нар. watering hole атака, при която се инфектират със зловреден код сайтове с определена аудитория. По този начин може да се таргетират потребители с конкретен демографски профил.
Със зловреден код са инфектирани 21 сайта, повечето от които са на държавни ведомства и медии от Виетнам и Камбоджа. Сред тях е интернет страницата на виетнамския вестник Dan Viet, който е 116-ият най-посещаван сайт в страната. Атакувани са още сайтовете на две министерства в Камбоджа, както и други онлайн медии и блогове.
Още през октомври информирахме собствениците на всички инфектирани сайтове. Въпреки това на повечето от тях още може да се намери зловреден код.
Как протича атаката?
Първата фаза на атаката е да се добави JavaScript код на заглавната страница на компрометирания сайт; или да се вгради в JavaScript файл на сървъра, на който се хоства страницата. Когато потребител отвори заразения сайт, кодът зарежда втори скрипт от команден сървър, който се контролира от хакерите.
Скриптът започва да събира потребителски данни като IP адрес, езикови настройки на браузъра, инсталирани браузърни добавки, часова зона и т.н.
Прави впечатление, че са взети различни мерки, за да може атаката да не бъде засечена. Регистрирани са поне 50 домейни и 50 сървъри, чиито имена наподобяват адресите на истински уебсайтове. Например домейнът на един от командните сървъри е cdn-ampproject[.]com и имитира cdn.ampproject.com.
Освен това цялата комуникация между устройството на потребителя и командния сървър е защитена с AES ключ. По този начин антивирусните решения не могат да засекат зловредната активност.
Това показва, че OceanLotus не само продължава да е активна, но и постоянно обновява и надгражда инструментите, с които работи. Наблюденията ни показват, че тази атака е по-сложна в сравнение с предишните атаки на групата. Ето защо OceanLotus трябва да се следи отблизо.