OceanLotus

Kelompok OceanLotus dari hacker yang disponsori negara sekarang menggunakan format file arsip web (. MHT dan . MHTML) untuk menyebarkan backdoors ke sistem yang dikompromikan.

Tujuannya adalah untuk menghindari deteksi oleh alat solusi antivirus yang lebih mungkin untuk menangkap format dokumen yang umum disalahgunakan dan menghentikan korban dari membukanya di Microsoft Office.

Juga dilacak sebagai APT32 dan SeaLotus, para peretas telah menunjukkan kecenderungan di masa lalu untuk mencoba metode yang kurang umum untuk menyebarkan malware.

Sebuah laporan dari Netskope Threat Labs yang dibagikan dengan Bleeping Computer sebelumnya mencatat bahwa kampanye OceanLotus menggunakan file arsip web masih aktif, meskipun ruang lingkup penargetan sempit dan meskipun server command and control (C2) terganggu.

Dari RAR ke word macros

Rantai serangan dimulai dengan kompresi RAR dari file arsip web besar 35-65MB yang berisi dokumen Word berbahaya.

Untuk melewati perlindungan Microsoft Office, para aktor telah mengatur properti ZoneID dalam metadata file ke “2”, membuatnya tampak seolah-olah diunduh dari sumber yang dapat dipercaya.

Saat membuka file arsip web dengan Microsoft Word, dokumen yang terinfeksi meminta korban untuk “Mengaktifkan Konten”, yang membuka jalan untuk mengeksekusi kode makro VBA berbahaya.

Skrip melakukan tugas-tugas berikut pada mesin yang terinfeksi:

Menjatuhkan payload ke “C:ProgramDataMicrosoftUser Account Picturesguest.bmp”;
Menyalin payload ke “C:ProgramDataMicrosoft Outlook Syncguest.bmp”;
Membuat dan menampilkan dokumen umpan bernama “Dokumen.doc”;
Mengganti nama muatan dari “tamu.bmp” menjadi “latar belakang.dll”;
Menjalankan DLL dengan memanggil fungsi ekspor “SaveProfile” atau “OpenProfile”

Setelah payload dieksekusi, kode VBA menghapus file Word asli dan membuka dokumen umpan yang melayani korban kesalahan palsu.

Backdoor menggunakan layanan hosting Glitch

Payload yang dijatuhkan dalam sistem adalah DLL 64-bit yang mengeksekusi setiap 10 menit berkat tugas terjadwal yang meniru cek pembaruan WinRAR.

Backdoor disuntikkan ke dalam proses rundll32.exe berjalan tanpa batas waktu dalam memori sistem untuk menghindari deteksi, netskope mencatat dalam laporan teknisnya.

Malware mengumpulkan informasi adaptor jaringan, nama komputer, nama pengguna, menyebutkan direktori dan file sistem, memeriksa daftar proses yang berjalan.

Setelah data dasar dikumpulkan, backdoor mengkompilasi semuanya menjadi satu paket dan mengenkripsi konten sebelum dikirim ke server C2.

Server ini di-host di Glitch, hosting cloud dan layanan kolaborasi pengembangan web yang sering disalahgunakan untuk tujuan jahat.

Dengan menggunakan layanan cloud hosting yang sah untuk komunikasi C2, para aktor semakin mengurangi kemungkinan terdeteksi bahkan ketika alat pemantauan lalu lintas jaringan dikerahkan.

Meskipun Glitch menurunkan URL C2 yang diidentifikasi dan dilaporkan oleh para peneliti Netskope, tidak mungkin ini akan menghentikan APT32 dari membuat yang baru menggunakan akun yang berbeda.

Untuk daftar lengkap indikator kompromi dari kampanye ini, Anda dapat memeriksa repositori GitHub ini.

Sumber: Bleepingcomputer

Bentuk malware yang baru ditemukan menargetkan pengguna Apple MacOS dalam kampanye yang menurut para peneliti memiliki kaitan dengan operasi peretasan yang didukung negara.

Kampanye tersebut telah dirinci oleh analis keamanan siber di Trend Micro yang telah menautkannya ke OceanLotus – juga dikenal sebagai APT32 – sebuah grup peretasan yang diduga memiliki hubungan dengan pemerintah Vietnam.

Mereka menduga ini ada kaitannya dengan OceanLotus karena kesamaan dalam kode dan perilaku malware yang digunakan dalam kampanye sebelumnya oleh grup tersebut.

Backdoor MacOS memberi penyerang celah ke mesin yang disusupi, memungkinkan mereka untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis yang sensitif.

Serangan dimulai dengan email phishing yang mencoba mendorong korban untuk menjalankan file Zip yang menyamar sebagai dokumen Word. File ini menghindari deteksi anti-virus dengan menggunakan karakter khusus jauh di dalam serangkaian folder Zip.

Untuk membantu menghindar dari malware ini dan kampanye malware lainnya, Trend Micro mengimbau pengguna untuk berhati-hati dalam mengklik tautan atau mengunduh lampiran dari email yang datang dari sumber yang mencurigakan atau tidak dikenal.

Organisasi juga disarankan untuk menerapkan tambalan keamanan dan pembaruan lainnya ke perangkat lunak dan sistem operasi sehingga malware tidak dapat memanfaatkan kerentanan yang telah diketahui.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Peretas OceanLotus Beralih ke File Arsip Web untuk Menyebarkan Backdoors

Dari RAR ke word macros

Backdoor menggunakan layanan hosting Glitch

Peretas menargetkan pengguna MacOS dengan malware yang telah diperbarui

OceanLotus

Dari RAR ke word macros

Backdoor menggunakan layanan hosting Glitch

Cookies Settings