Vietnámi emberi jogi aktivistákat célzó APT
A Huntress fenyegetésvadászai nemrégiben egy vietnami emberi jogi aktivista gépére való behatolást fedeztek fel, amely a gyanú szerint már legalább négy éve tart. Ez a behatolás számos átfedést mutat az APT32/OceanLotus által használt ismert technikákkal, és a célközönség is megegyezik az APT32/OceanLotus célpontjaival. A Huntress bejegyzése rávilágít arra, hogy a fejlett fenyegetések milyen messzire képesek elmenni az információgyűjtés érdekében, ha az megfelel a stratégiai érdekeiknek.
Már korábbi jelentések is beszámoltak arról, hogy újságírók, bloggerek, “másként gondolkodók” és vietnami emberi jogi aktivisták legalább 2013-ig visszamenőleg az APT32/OceanLotus műveleteivel összhangban álló rosszindulatú szoftverek és taktikák célpontjai voltak. Erről olyan vállalatok számoltak be, mint a Google, az Electronic Frontier Foundation, az Amnesty International és számos más biztonsági szolgáltató. A vizsgálat során számos átfedést találtak az APT32/OceanLotus által használt ismert technikákkal: a szóban forgó kártevő egy rosszindulatú DLL-t használt, amelyet egy iisutil.dll nevű IIS Express DLL töltött be. Ez átfedést mutat a Nextron Systems által létrehozott YARA-szabállyal, amely az APT32/OceanLotus kiberszereplőre utal; a behatolás során használt rosszindulatú DLL az iisutil módosított változatát használta, 0x00025FB0 (155568) belépési ponttal és 0x1002711e függvénnyel. A kártevő minden kódja megegyezik a VirusTotal-ra feltöltött, az APT32/OceanLotus-al kapcsolatba hozható kártevővel, kivéve a hozzá csatolt extra kitöltést; a kártevő C2 konfigurációjában a 8888-as és a 8531-es portot használták. A COM objektum backdoor egyezik egy biztonsági kutató 2019-es nyilvános jelentésével, ahol a végleges hasznos teher nyolc lehetséges C2 szervercímet tartalmazott azonos portszámokkal; a DLL-forrásban hardcode-olt C2-címek használata átfedést mutat a BlackBerry/Cylance jelentése szerinti APT32/OceanLotus által használt rosszindulatú szoftverekkel, ahogy a COM-objektumok használata és a PNG-fájlokat használó steganográfia technika is. A kutatók megosztották az IoC-kat (Indicators of Compromise) is.
