QiAnXin нейтрализовала элитных хакеров OceanLotus

QiAnXin нейтрализовала элитных хакеров OceanLotus

Исследователи раскрывают скрытые мотивы преступников.

image

Группа OceanLotus вновь привлекла внимание киберспециалистов из компании QiAnXin. После перерыва в конце 2023 года она возобновила свою активность в ноябре 2024 года, но была быстро нейтрализована благодаря совместным усилиям исследователей кибербезопасности.

Впервые свою деятельность данная группа начала ещё в 2022 году, демонстрируя значительно более высокий уровень атак, чем ранее, включая использование 0day-уязвимостей для кражи данных в военной, энергетической и аэрокосмической отраслях Китая.

OceanLotus специализировалась на атаках через цепочки поставок, заражая обновлениями целевые терминалы внутри корпоративных сетей. Их подходы включали использование усовершенствованной версии Cobalt Strike, которая сохраняла скриншоты заражённых устройств и отправляла их на сервер управления. Это позволяло получить данные о действиях атакуемого в режиме реального времени.

Ключевые инструменты группы:

  • Плагины для сбора файлов: собирают документы со специфическими расширениями, включая PDF, PPT, XMind, шифруют их алгоритмом AES и отправляют атакующим.
  • SSH-плагины: используются для получения доступа к Linux-серверам с уязвимыми паролями.
  • Кроссплатформенные трояны: особый вредоносный код, предназначенный для работы в Windows и Linux, используется для компрометации серверов и обхода защитных систем.

OceanLotus разработала уникальные методы обхода антивирусных решений, таких как 360 Security Guard и Skyrocket EDR , используя DLL-файлы и функции для отключения защитных процессов. Несмотря на сложность их тактик, специалисты смогли своевременно обнаружить их последние кампании и эффективно им противодействовать.

Данные расследований указывают на то, что группа базируется в одной из стран Юго-Восточной Азии. Атаки хакеров в основном нацелены на сбор информации о китайских инфраструктурных и энергетических проектах, что совпадает с интересами ряда внешних государств, которые, возможно, поддерживают эту группу.

Активность OceanLotus подчёркивает необходимость постоянного улучшения киберзащиты. Страны и компании, чьи данные могут представлять интерес для кибершпионов, должны активно инвестировать в современные защитные решения.

Даже самые изощрённые атаки можно предотвратить, если своевременно объединить усилия, делиться знаниями и укреплять уязвимые звенья в цепочках поставок. Бдительность и готовность к адаптации — ключ к защите в цифровую эпоху.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь