Исследователи раскрывают скрытые мотивы преступников.
Группа OceanLotus вновь привлекла внимание киберспециалистов из компании QiAnXin. После перерыва в конце 2023 года она возобновила свою активность в ноябре 2024 года, но была быстро нейтрализована благодаря совместным усилиям исследователей кибербезопасности.
Впервые свою деятельность данная группа начала ещё в 2022 году, демонстрируя значительно более высокий уровень атак, чем ранее, включая использование 0day-уязвимостей для кражи данных в военной, энергетической и аэрокосмической отраслях Китая.
OceanLotus специализировалась на атаках через цепочки поставок, заражая обновлениями целевые терминалы внутри корпоративных сетей. Их подходы включали использование усовершенствованной версии Cobalt Strike, которая сохраняла скриншоты заражённых устройств и отправляла их на сервер управления. Это позволяло получить данные о действиях атакуемого в режиме реального времени.
Ключевые инструменты группы:
OceanLotus разработала уникальные методы обхода антивирусных решений, таких как 360 Security Guard и Skyrocket EDR , используя DLL-файлы и функции для отключения защитных процессов. Несмотря на сложность их тактик, специалисты смогли своевременно обнаружить их последние кампании и эффективно им противодействовать.
Данные расследований указывают на то, что группа базируется в одной из стран Юго-Восточной Азии. Атаки хакеров в основном нацелены на сбор информации о китайских инфраструктурных и энергетических проектах, что совпадает с интересами ряда внешних государств, которые, возможно, поддерживают эту группу.
Активность OceanLotus подчёркивает необходимость постоянного улучшения киберзащиты. Страны и компании, чьи данные могут представлять интерес для кибершпионов, должны активно инвестировать в современные защитные решения.
Даже самые изощрённые атаки можно предотвратить, если своевременно объединить усилия, делиться знаниями и укреплять уязвимые звенья в цепочках поставок. Бдительность и готовность к адаптации — ключ к защите в цифровую эпоху.
Храним важное в надежном месте