به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، اخیرا مشاهده شده است که در عملیات‌های مخرب سایبری سال ۲۰۱۹، گروه OceanLotus، شناخته شده با نام‌های APT۳۲، SeaLotus، APT-C-۰۰ و Cobalt Kitty، در حال سوء استفاده از یک اکسپلویت عمومی نرم‌افزار آفیس است.

به نقل از پایگاه اینترنتی ZDNet، پژوهشگران ESET اعلام کردند که گروه OceanLotus در عملیات‌های فیشینگ در حال بهره‌برداری از یک اکسپلویت عمومی برای یک آسیب‌پذیری خرابی حافظه در آفیس (CVE-۲۰۱۷-۱۱۸۸۲) هستند. این گروه مخرب از اسناد گمراه‌کننده مانند پیام‌ها و سندهای مربوط به اطلاعات تماس رسانه‌ها، تظاهرات‌‌ها و رویدادهای سیاسی برای بهره‌برداری از آسیب‌پذیری استفاده می‌کند. در صورتی که قربانی این اسناد را باز کند و ماکروهای آفیس را فعال کند، یک درپشتی در رایانه وی نصب می‌شود که دارای قابلیت‌های جاسوسی و استخراج اطلاعات است.

علاوه بر اسناد آلوده شده توسط کدهای ماکرو، این گروه از فایل‌های فشرده خود استخراج شونده (SFX) نیز استفاده می‌کند. این فایل‌ها پس از اجرا فایل‌های DLL منتقل و اجرا می‌کند که منجر به اجرای payloadهای مخرب می‌شوند. در حملات اخیر، بدافزار فعالیت‌های زمانبندی شده نیز ایجاد می‌کند تا پایداری خود در سیستم آلوده شده را حفظ کند. این گروه همچنین از تکنیک‌های جلوگیری از شناسایی نیز استفاده می‌کند و تلاش‌های مهندسی معکوس پژوهشگران را دچار مشکل کرده‌اند.

پژوهشگران در ماه آوریل نیز یک درپشتی برای سیستم‌عامل مک با نام OSX_OCEANLOTUS.D کشف کردند که بنظر می‌رسد توسط گروه OceanLotus ایجاد شده باشد.
نشانه‌های آلودگی (IoC):
دامنه‌ها:
aliexpresscn[.]net
andreagahuvrauvin[.]com
andreagbridge[.]com
aol.straliaenollma[.]xyz
beaudrysang[.]xyz
becreybour[.]com
byronorenstein[.]com
chinaport[.]org
christienoll[.]xyz
christienollmache[.]xyz
cloud,۳۶۰cn[.]info
dieordaunt[.]com
dns.chinanews[.]network
illagedrivestralia[.]xyz
karelbecker[.]com
karolinblair[.]com
lauradesnoyers[.]com
ntop.dieordaunt[.]com
office.ourkekwiciver[.]com
ourkekwiciver[.]com
sophiahoule[.]com
stienollmache[.]xyz
straliaenollma[.]xyz
ursulapapst[.]xyz

هش‌های اسناد مخرب:
D۱۳۵۷B۲۸۴C۹۵۱۴۷۰۰۶۶AAA۷A۸۲۲۸۱۹۰B۸۸A۵C۷C۳
۴۹DFF۱۳۵۰۰۱۱۶B۶C۰۸۵C۵CE۳DE۳C۲۳۳C۲۸۶۶۹۶۷۸
۹DF۳F۰D۸۵۲۵EDF۲B۸۸C۴A۱۵۰۱۳۴C۷۶۹۹A۸۵A۱۵۰۸
۵۰A۷۵۵B۳۰E۸F۳۶۴۶F۹۴۷۶۰۸۰F۲C۳AE۱۳۴۷F۸F۵۵۶
BB۰۶۰E۵E۷F۷E۹۴۶۶۱۳A۳۴۹۷D۵۸FBF۰۲۶AE۷C۳۶۹A
E۲D۹۴۹CF۰۶۸۴۲B۵F۷AE۶B۲DFFAA۴۹۷۷۱A۹۳A۰۰D۹

هش‌های فایل‌های SFX و OCX:
AC۱۰F۵B۱D۵ECAB۲۲B۷B۴۱۸D۶E۹۸FA۱۸E۳۲BBDEAB
۷۶۴۲F۲۱۸۱CB۱۸۹۹۶۵C۵۹۶۹۶۴D۲EDF۸FE۵۰DA۷۴۲B
CD۱۳۲۱۰A۱۴۲DA۴BC۰۲DA۴۷۴۵۵EB۲CFE۱۳F۳۵۸۰۴A
۳۷۷FDC۸۴۲D۴A۷۲۱A۱۰۳C۳۲CE۸CB۴DAF۵۰B۴۹F۳۰۳
B۴E۶DDCD۷۸۸۸۴F۶۴۸۲۵FDF۴۷۱۰B۳۵CDBEAABE۸E۲
BD۳۹۵۹۱A۰۲B۴E۴۰۳A۲۵AAE۵۰۲۶۴۸۲۶۴۳۰۸۰۸۵DED
B۹۹۸F۱B۹۲ED۶۲۴۶DED۱۳B۷۹D۰۶۹AA۹۱C۳۵۶۳۷DEC
CC۹۱۸F۰DA۵۱۷۹۴F۰۱۷۴۴۳۷D۳۳۶E۶F۳EDFDD۳CBE۴
۸۳D۵۲۰E۸C۳FDAEFB۵C۸B۱۸۰۱۸۷B۴۵C۶۵۵۹۰DB۲۱A
EFAC۲۳B۰E۶۳۹۵B۱۱۷۸BCF۷۰۸۶F۷۲۳۴۴B۲۴C۰۴DCC
۸B۹۹۱D۴F۲C۱۰۸FD۵۷۲C۹C۲۰۵۹۶۸۵FC۵۷۴۵۹۱E۰BE
B۷۴۴۸۷۸E۱۵۰A۲C۲۵۴C۸۶۷BAD۶۱۰۷۷۸۸۵۲C۶۶D۵۰A
۳DFC۳D۸۱۵۷۲E۱۶CEAAE۳D۰۷۹۲۲۲۵۵EB۸۸۰۶۸B۹۱D

انتهای پیام/