Gruppo hacker chiamato OceanLotus ha iniettato un malware in windows
Buongiorno cari lettori, oggi parleremo del gruppo di hacker ha iniettato un malware negli errori di windows.
Secondo i ricercatori, l'attacco senza file è stato portato avanti da OceanLotus, un gruppo vietnamita APT32.
I ricercatori della sicurezza Malwarebytes Jérôme Segura e Hossein Jazi hanno individuato un nuovo metodo di attacco senza file che sfrutta il servizio Microsoft Windows Error Reporting (WER) per iniettare il suo carico utile. L'attacco è stato scoperto il 17 settembre 2020, ma i dettagli sono stati resi pubblici solo di recente.
Il duo sostiene che questa nuova tecnica, che hanno soprannominato l'attacco Kraken, potrebbe essere opera del gruppo vietnamita APT32, ovvero OceanLotus, noto anche come SeaLotus, Cobalt Kitty e APT-C-00.
OceanLotus ha anche utilizzato un attacco di phishing per adescare le vittime attraverso una simile truffa di risarcimento dei lavoratori. In quell'incidente gli aggressori hanno utilizzato il framework CactusTorch per effettuare un attacco senza file dopo aver compromesso un sito web per ospitare il suo carico utile.
Un altro motivo per credere che OceanLotus sia coinvolto è che i domini utilizzati per ospitare archivi e documenti maligni erano registrati in una città vietnamita, Ho Chi Minh.
Segura e Jazi hanno scritto nel loro post pubblicato martedì sul blog che il vettore dell'attacco si basa principalmente su malware nascosto in file eseguibili basati su WER per eludere il rilevamento. La tecnica non è nuova di per sé.
Il team ha trovato un pacchetto di documenti di phishing in un file .ZIP. Questo file si chiamava "Compensation manual.doc", che presumibilmente conteneva informazioni sui diritti di risarcimento dei lavoratori. Tuttavia, quando hanno aperto questo file, ha innescato una macro dannosa.
Gli hacker di OceanLotus che iniettano malware nel rapporto di errore di Windows
Allegato e-mail inviato dagli hacker - L'abilitazione del contenuto esegue la macro dannosa.
In questa campagna, il caricatore ha due classi, Kraken e Loader, che insieme installano il carico utile dannoso nel servizio WER.
"Il codice di shell finale è un insieme di istruzioni che fanno una richiesta HTTP a un dominio hard-coded per scaricare un payload dannoso e iniettarlo in un processo", ha scritto il duo.
Secondo i ricercatori, il servizio di reporting WerFault.exe viene invocato quando si verifica un errore nel sistema operativo, nelle funzionalità di Windows o nell'applicazione. Quando un utente si accorge che WerFault.exe è in esecuzione sul proprio sistema, dà per scontato che si sia verificato un errore, ma in realtà è diventato vittima di un attacco mirato.
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
