OceanLotus (APT32) APT IOCs

Исследователи из компании Huntress обнаружили долгосрочную кибервзломку, направленную на вьетнамского правозащитника, которая, предположительно, продолжалась не менее четырех лет.

По данным Huntress, тактика, техника и процедуры (TTP), наблюдаемые в этой атаке, имеют сходство с теми, которые использует APT32/OceanLotus, известная группа кибершпионажа, отслеживаемая Microsoft как Canvas Cyclone. Для сохранения доступа к взломанным системам злоумышленники использовали различные механизмы сохранения, включая запланированные задачи, боковую загрузку DLL и злоупотребление COM-объектами. Примечательно, что злоумышленники использовали вредоносные программы, которые маскировались под легитимное программное обеспечение, например двоичные файлы Adobe и McAfee, и использовали уязвимости в легитимных исполняемых файлах для выполнения вредоносной полезной нагрузки.

В ходе расследования аналитики Huntress обнаружили несколько образцов вредоносного ПО, которые использовали обфускацию и стеганографию для уклонения от обнаружения. Вредоносные программы могли внедрять код в память и выполнять различные задачи, такие как кража файлов cookie браузера, загрузка дополнительной полезной нагрузки и создание бэкдоров. Злоумышленники также использовали легитимные инструменты, такие как Windows Management Instrumentation (WMI), для удаленного выполнения команд и эксплуатировали именованные каналы для повышения привилегий.

В ходе расследования были обнаружены связи с инфраструктурой, связанной с APT32/OceanLotus, что еще больше подтверждает причастность этой группы к атаке. Настойчивые усилия злоумышленников по сокрытию своей деятельности и сохранению доступа говорят о стратегической цели, связанной со сбором разведданных. Этот случай демонстрирует, на что идут продвинутые злоумышленники ради достижения своих целей, и подчеркивает важность непрерывного поиска и мониторинга угроз для обнаружения и реагирования на такие сложные вторжения.

Indicators of Compromise

IPv4

• 176.103.63.48
• 185.198.57.184
• 185.43.220.188
• 193.107.109.148
• 46.183.223.79
• 5.230.35.192
• 51.81.29.44

Domains

• 1-you.njalla.no
• 2-can.njalla.in
• 3-get.njalla.fo
• adobe.riceaub.com
• base.msteamsapi.com
• blank.eatherurg.com
• cdn.arlialter.com
• cds55.lax8.setalz.com
• dupbleanalytics.net
• fbcn.enantor.com
• get.dupbleanalytics.net
• hx-in-f211.popfan.org
• kpi.adcconnect.me
• priv.manuelleake.com
• var.alieras.com
• ww1.erabend.com
• you.can-get-no.info

SHA256

• 09f53e68e55a38c3e989841f59a9c4738c34c308e569d23315fd0e2341195856
• 1bd17369848c297fb30e424e613c10ccae44aa0556b9c88f6bf51d84d2cbf327
• 29863f612d2da283148cb327a1d57d0a658d75c8e65f9ef4e5b19835855e981e
• 300ef93872cc574024f2402b5b899c834908a0c7da70477a3aeeaee2e458a891
• 3124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe
• 47af8a33aac2e70ab6491a4c0a94fd7840ff8014ad43b441d01bfaf9bf6c4ab7
• 6c08a004a915ade561aee4a4bec7dc588c185bd945621ec8468575a399ab81f4
• 6cf19d0582c6c31b9e198cd0a3d714b397484a3b16518981d935af9fd6cdb2eb
• 82e94417a4c4a6a0be843ddc60f5e595733ed99bbfed6ac508a5ac6d4dd31813
• 8e2e9e7b93f4ed67377f7b9df9523c695f1d7e768c3301db6c653948766ff4c3
• a166751b82eac59a44fd54cf74295e71e7e95474fc038fc8cca069da05158586
• a217fe01b34479c71d3a7a524cb3857809e575cd223d2dd6666cdd47bd286cd6
• a6072e7b0fafb5f09fd02c37328091abfede86c7c8cb802852985a37147bfa19
• aa5ff1126a869b8b5a0aa72f609215d8e3b73e833c60e4576f2d3583cc5af4f4
• aa69c6c22f1931d90032a2d825dbee266954fac33f16c6f9ce7714e012404ec1
• b31bfa8782cb691178081d6685d8429a2a2787b1130c6620d3486b4c3e02d441
• c03cc808b64645455aba526be1ea018242fcd39278acbbf5ec3df544f9cf9595
• c7e2dbc3df04554daa19ef125bc07a6fa52b5ea0ba010f187a082dc9fc2e97ed
• ea8a00813853038820ba50360c5c1d57a47d72237e3f76c581d316f0f1c6e85f
• efc373b0cda3f426d25085938cd02b7344098e773037a70404c6028c76cc16fc
• f8773628cdeb821bd7a1c7235bb855e9b41aa808fed1510418a7461f7b82fd6c