Vietnam’daki insan haklarını destekleyen kar amacı gütmeyen bir kuruluş, çeşitli kötü amaçlı yazılımları tehlikeye atılmış ana bilgisayarlara dağıtmak üzere tasarlanmış, uzun yıllardır devam eden bir kampanyanın hedefi oldu.
Siber güvenlik şirketi Huntress, faaliyeti APT32 olarak bilinen bir tehdit kümesine, APT-C-00 olarak da bilinen Vietnam yanlısı bir hacker ekibine, Canvas Cyclone’a (eski adıyla Bismuth), Cobalt Kitty’ye ve OceanLotus’a bağladı. Saldırının en az dört yıldır devam ettiği düşünülüyor.
Güvenlik araştırmacıları Jai Minton ve Craig Sweeney, “Bu saldırının, tehdit aktörü APT32/OceanLotus tarafından kullanılan bilinen tekniklerle ve APT32/OceanLotus hedefleriyle örtüşen bilinen bir hedef demografisiyle çok sayıda örtüşmesi var” dedi.
En az 2012’den beri faaliyet gösteren OceanLotus’un, özellikle Vietnam, Filipinler, Laos ve Kamboçya olmak üzere Doğu Asya ülkelerindeki şirket ve hükümet ağlarını siber casusluk ve fikri mülkiyet hırsızlığı amacıyla hedef alma geçmişi bulunuyor.
Saldırı zincirleri genellikle keyfi kabuk kodu çalıştırabilen ve hassas bilgileri toplayabilen arka kapıları sunmak için ilk nüfuz vektörü olarak mızraklı kimlik avı yemlerini kullanır. Bununla birlikte, grubun 2018’in başlarında site ziyaretçilerini bir keşif yüküyle enfekte etmek veya kimlik bilgilerini toplamak için sulama deliği kampanyaları düzenlediği de gözlemlendi.
Huntress tarafından bir araya getirilen son saldırı seti, her biri çeşitli zamanlanmış görevler ve Cobalt Strike Beacons’ı başlatmaktan sorumlu Windows Kayıt Defteri anahtarlarını eklemek için ele geçirilen dört ana bilgisayarı kapsıyordu. Bu arka kapı, sistemdeki tüm kullanıcı profillerine ait Google Chrome çerezlerinin çalınmasını sağlayan bir arka kapı ve gömülü DLL yüklerini başlatmaktan sorumlu yükleyicileri içeriyordu.
Gelişme, Güney Koreli kullanıcıların, muhtemelen hedefli kimlik avı ve güvenlik açığı bulunan Microsoft Exchange sunucularını kullanarak ters kabuklar, arka kapılar ve VNC kötü amaçlı yazılımları sunarak enfekte olmuş makinelerin kontrolünü ele geçirmeyi ve web tarayıcılarında saklanan kimlik bilgilerini çalmayı amaçlayan devam eden bir kampanyanın hedefi haline gelmesiyle birlikte geldi.