Uma organização sem fins lucrativos que apoia os direitos humanos vietnamitas tem sido alvo de uma campanha de vários anos projetada para distribuir uma variedade de malware em hosts comprometidos.
A empresa de segurança cibernética Huntress atribuiu a atividade a um cluster de ameaças conhecido como APT32, uma equipe de hackers alinhada ao Vietnã que também é conhecida como APT-C-00, Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty e OceanLotus. Acredita-se que a intrusão esteja em andamento há pelo menos quatro anos.
“Essa intrusão tem uma série de sobreposições com técnicas conhecidas usadas pelo agente de ameaça APT32/OceanLotus e um público-alvo conhecido que se alinha aos alvos do APT32/OceanLotus”, disseram os pesquisadores de segurança Jai Minton e Craig Sweeney.
O OceanLotus, ativo desde pelo menos 2012, tem um histórico de ataques a redes empresariais e governamentais em países do Leste Asiático, particularmente Vietnã, Filipinas, Laos e Camboja, com o objetivo closing de espionagem cibernética e roubo de propriedade intelectual.
As cadeias de ataque normalmente fazem uso de iscas de spear-phishing como vetor de penetração inicial para entregar backdoors capazes de executar shellcode arbitrário e coletar informações confidenciais. Dito isso, o grupo também foi observado orquestrando campanhas de watering gap já em 2018 para infectar visitantes do web site com uma carga útil de reconhecimento ou coletar suas credenciais.
O último conjunto de ataques reunidos pela Huntress abrangeu quatro hosts, cada um dos quais foi comprometido para adicionar várias tarefas agendadas e chaves do Registro do Home windows que são responsáveis por iniciar Cobalt Strike Beacons, um backdoor que permite o roubo de cookies do Google Chrome para todos os perfis de usuário no sistema e carregadores responsáveis por iniciar cargas úteis de DLL incorporadas.
O desenvolvimento ocorre no momento em que usuários sul-coreanos são alvos de uma campanha em andamento que provavelmente utiliza spear-phishing e servidores Microsoft Trade vulneráveis para distribuir shells reversos, backdoors e malware VNC para obter controle de máquinas infectadas e roubar credenciais armazenadas em navegadores da internet.