Una organización sin fines de lucro que apoya los derechos humanos en Vietnam ha sido el objetivo de una campaña de varios años diseñada para distribuir una variedad de malware en hosts comprometidos.
La empresa de ciberseguridad Huntress atribuyó la actividad a un grupo de amenazas conocido como APT32, un grupo de piratas informáticos de afinidad vietnamita que también se conoce como APT-C-00, Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty y OceanLotus. Se cree que la intrusión lleva al menos cuatro años en curso.
«Esta intrusión tiene una serie de superposiciones con técnicas conocidas utilizadas por el actor de amenazas APT32/OceanLotus y un grupo demográfico de objetivos conocido que se alinea con los objetivos de APT32/OceanLotus», dijeron los investigadores de seguridad Jai Minton y Craig Sweeney. dicho.
OceanLotus, activo desde al menos 2012, tiene una historia de atacar redes empresariales y gubernamentales en países del este asiático, particularmente Vietnam, Filipinas, Laos y Camboya, con el objetivo final de cometer espionaje cibernético y robo de propiedad intelectual.
Cadenas de ataque típicamente valerse Señuelos de spear phishing como el vector de penetración inicial para distribuir puertas traseras capaces de ejecutar código shell arbitrario y recopilar información confidencial. Dicho esto, el grupo también ha sido observado orquestando campañas de abrevadero desde 2018 para infectar a los visitantes del sitio con una carga de reconocimiento o recolectar sus credenciales.
El último conjunto de ataques reunidos por Huntress abarcó cuatro hosts, cada uno de los cuales fue comprometido para agregar varias tareas programadas y claves del Registro de Windows que son responsables de lanzar Cobalt Strike Beacons, una puerta trasera que permite el robo de cookies de Google Chrome para todos los perfiles de usuario en el sistema y cargadores responsables de lanzar cargas útiles DLL integradas.
El desarrollo se produce en un momento en que los usuarios de Corea del Sur son el objetivo de una campaña en curso que probablemente aprovecha el phishing selectivo y los servidores vulnerables de Microsoft Exchange para distribuir shells inversos, puertas traseras y malware VNC para obtener el control de las máquinas infectadas y robar credenciales almacenadas en los navegadores web.