Киберпреступная группировка «Lotus Blossom» около 3 лет атаковала страны Юго-Восточной Азии

Специалисты компании Palo Alto Networks обнаружили и сообщили о крупной кампании по осуществлению кибершпионажа за правительственными и военными организациями в Юго-Восточной Азии.

Киберпреступная группировка, которая взяла ответственность за кибернападения, называет себя «Lotus Blossom». Цели кибератаки и настойчивость хакеров позволяют предположить, что группа спонсировалась правительством какой-то страны. В ходе трехлетней кампании злоумышленники осуществили более 50 кибератак.

Эксперты из Palo Alto Networks сообщили, что злоумышленники применяли фишинг, используя вредоносные документы и файл-приманку, содержащий контент, связанный с родом занятий жертвы . Вложение электронных писем обычно содержало код эсплоита для известной уязвимости в Microsoft Office - CVE-2012-0158 . Это позволяло установить на компьютер жертвы троян, а затем открыть файл-приманку.

Киберпреступники использовали троян Elise. В некоторых случаях злоумышленники представляли вредоносный файл в виде списка личного состава конкретных военных ведомств. Кибератаки были направлены на компьютерные системы правительственных организаций во Вьетнаме, Тайване, Гонконге, Индонезии и на Филиппинах.

Исследователи из Palo Alto Networks отметили, что бэкдоры и уязвимости, которые эксплуатировались в ходе кампании, уже давно являются известными. Использование злоумышленниками подобных брешей говорит о том, многие организации не предпринимают необходимых для предотвращения кибератак мер.