Набор для взлома
№ 2
Это новый набор, который мы не встречали ранее и не наблюдали ни у одной из задокументированных APT-группировок.
Набор включает утилиту архивации, которая
создаёт RAR-архив. Вторая утилита перемещает созданный архив в папку для отправки на управляющий сервер.
Практически
все утилиты набора содержат вредоносную dll, которая загружается через легитимное приложение. Отличительной чертой этого набора является чрезвычайно богатый набор тактик, применяемых злоумышленниками.
OceanLotus — набор инструментов наиболее часто применяется одноимённой группировкой, известной также как APT32. Он содержит минимально необходимые средства для проведения атаки, причём различные функции объединяются в составе одной утилиты.
Например, бэкдор из этого набора помимо выполнения команд от управляющего сервера умеет собирать и архивировать файлы.
Присутствие OceanLotus в наборах явзломщиков подтверждало нашу версию об участии группировки APT32 в атаке на организацию.