Backdoor mit zahlreichen Funktionen
Die OceanLotus-Gang begnügt sich nicht mit bereits erfolgreicher Cyberspionage, Ausspähaufträgen oder dem Diebstahl geistigen Eigentums. Eine der neuesten Backdoors der Gruppe ist ein umfassendes Schadprogramm, das dem Kontrollierenden einen Remote-Zugriff auf kompromittierte Rechner ermöglicht. Die Hintertür enthält viele Funktionen, insbesondere eine Reihe von Werkzeugen für die Manipulation von Registry-Daten und Prozessen. Außerdem können zusätzliche Komponenten bei Bedarf nachgeladen werden, wie auf welivesecurity.com erläutert wurde.
Um die Backdoor auf den Zielrechner zu schmuggeln, verfolgt die OceanLotus-Gruppe eine Angriffstaktik, die aus zwei Schritten besteht. Zunächst erzeugt ein Dropper Package eine offene Stelle im System, über das sich dann die eigentliche Backdoor manifestiert. Wie üblich bedarf dieser Prozess einiger Manipulationen.
Welche Manipulationsstrategie verfolgt OceanLotus?
Typischerweise versuchen die Hintermänner von OceanLotus ein Opfer dazu zu bringen, den Dropper auf dem Zielrechner auszuführen. Dafür wird beispielsweise eine Spearfishing E-Mail mit schädlichem Anhang an ausgewählte Zielpersonen verschickt. Die Cyberkriminellen versuchen die wahre Identität der beigefügten ausführbaren Datei zu verschleiern. Getarnt ist diese als Dokument oder Tabelle und entsprechendem Icon.
Wenn das Opfer auf den Anhang klickt, öffnet der Dropper ein passwortgeschütztes Dokument, das als „Ablenkungsmanöver“ dient. Im Hintergrund verrichtet der Dropper indes seine eigentlich schädliche Aktivität. Dafür sind keine Software-Exploits erforderlich. Die OceanLotus-Angreifer benutzen eine Reihe von Lockvogel-Dokumenten. Um einen authentischen Charakter zu erzeugen, verwendet man einen scheinbar sorgfältig ausgewählten englischsprachigen Dateinamen. Der ESET Malware-Schutz erkennt die Files als Win32/TrojanDropper.Agent.RUI.
Die Watering Hole Technik
Darüber hinaus ist OceanLotus für seine Watering Hole Attack bekannt. Diese Angriffsmethode beinhaltet das Kompromittieren einer vom Opfer oft besuchten Webseite. In diesem Szenario soll die Zielperson durch das Herunterladen und Ausführen eines Fake-Installers in die Falle tappen. Egal welche Angriffsmethode verwendet wird, in beiden Fällen manifestiert sich die gleiche Backdoor auf dem Rechner der Zielperson.
Die Watering Hole Technik verbreitet höchstwahrscheinlich den Dropper namens RobototFontUpdate.exe – ein Fake-Updater für die Roboto Slab Regular Font. Die Watering Hole Technik verbreitet höchstwahrscheinlich den Dropper namens RobototFontUpdate.exe – ein Fake-Updater für die Roboto Slab Regular Font.
Weiterführende Links:
Tiefergehende Analyse von OceanLotus neuester Backdoor
welivesecurity.com: OceanLotus: Neue Backdoor nutzt bekannte Tricks
