Un equipo de piratería alineado con Vietnam, también conocido como APT-C-00, Canvas Cyclone, Cobalt Kitty y OceanLotus, ha estado llevando a cabo una intrusión durante al menos cuatro años, reveló Huntress, una empresa de ciberseguridad. Los expertos en seguridad Jai Minton y Craig Sweeney señalaron que la intrusión está relacionada con APT32/OceanLotus y un grupo demográfico conocido por sus objetivos alineados con APT32/OceanLotus.
OceanLotus, activo desde 2012, se dedica al espionaje cibernético y al robo de propiedad intelectual, centrándose en redes de empresas y gobiernos en países del sudeste asiático, como Vietnam, Filipinas, Laos y Camboya. El grupo ha recurrido a tácticas de spear-phishing para entregar puertas traseras capaces de ejecutar código shell arbitrario y recopilar información sensible. Desde 2018, también ha orquestado campañas de trampas de agua para infectar a los visitantes del sitio con una carga útil de reconocimiento o para recolectar sus credenciales.
Huntress descubrió un conjunto de ataques que afectaron cuatro hosts, comprometidos para agregar diversas tareas programadas y claves del Registro de Windows. Estas acciones lanzaron Cobalt Strike Beacons, una puerta trasera para el robo de cookies de Google Chrome, y cargadores responsables de lanzar cargas útiles DLL incrustadas. Se cree que la campaña en curso hace uso de spear-phishing y servidores vulnerables Microsoft Exchange para entregar shells inversos, puertas traseras y malware VNC para tomar el control de máquinas infectadas y robar credenciales almacenadas en navegadores web.
Vía The Hacker News
