Badacze z ESET odkryli nową złośliwą kampanię adresowaną do kilku stron internetowych w południowo-wschodniej Azji, która prawdopodobnie działa od września 2018 roku. W ataku “watering hole” cyberprzestępcy atakują witryny, które są regularnie odwiedzane przez potencjalne cele. Zidentyfikowano 21 zainfekowanych stron, wśród nich były strony Ministerstwa Obrony Kambodży, Ministerstwa Spraw Zagranicznych i Współpracy Międzynarodowej Kambodży oraz kilka wietnamskich gazet lub blogów.
Po dokładnej analizie wiemy, że ta kampania jest prowadzona przez grupę OceanLotus, znaną również jako APT32 i APT-C-00. OceanLotus jest grupą szpiegowską działającą od co najmniej 2012 roku, zainteresowaną głównie zagranicznymi rządami i dysydentami.
Kampania ta jest ewolucją tego, co badacze Volexity nazwali OceanLotus Framework B, polegającej na atakach “watering hole”, udokumentowanych w 2017 roku. Wśród różnych ulepszeń zaczęto stosować kryptografię klucza publicznego w celu wymiany klucza AES sesji, używanego do szyfrowania dalszej komunikacji, uniemożliwiając w ten sposób produktom zabezpieczającym przechwycenie końcowego ładunku. Przełączono również z HTTP na WebSocket, aby ukryć ich złośliwą komunikację.
Zidentyfikowano 21 różnych stron internetowych, które zostały zaatakowane, a każda z nich przekierowywała do oddzielnej domeny kontrolowanej przez napastników. Większość zagrożonych domen dotyczy mediów informacyjnych lub rządu Kambodży.
Więcej informacji: https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny