Los analistas de Blackberry Cylance describen APT32 (aka OceanLotus, CobaltKitty, SeaLotus, APT-C-00) armas de grupo.
yot vale la pena recordar a este grupo de empresas ataques principalmente extranjeras que invierten en el desarrollo de la producción en Vietnam. Las industrias principales son el comercio minorista, consultoría y sector de la hostelería Según los especialistas en seguridad de la información, APT32 actúa en interés de que el gobierno vietnamita, y los ataques se pueden llevar a cabo para recopilar información para los servicios policiales.Un informe de expertos describe con detalle una herramienta que fuera desconocida para los investigadores – RATA Ratsnif (los investigadores estudiaron sus cuatro versiones). La versión más antigua de las fechas de malware 2016. Aparentemente, en ese momento el malware se encontraba todavía en la etapa de depuración. La versión más reciente se creó en agosto 2018.
“Los troyanos, bajo desarrollo activo desde 2016, combinan capacidades como la detección de paquetes, gateway / dispositivo de envenenamiento ARP, El envenenamiento del DNS, inyección de HTTP, y MAC spoofing”, - dicen los investigadores de Blackberry Cylance.
Los expertos señalan que, a diferencia de las versiones anteriores, la versión más reciente de Ratsnif ya no tiene las direcciones no modificables de los servidores de control en el código y los delegados de todas las comunicaciones a software malicioso, que también está instalado en el sistema de la víctima. Adicionalmente, esta es la primera versión en la que hay un archivo de configuración, así como una serie de nuevas funciones que aumentan la eficacia de los programas maliciosos: inyección de HTTP, análisis de protocolo, y la interferencia con SSL.
Al mismo tiempo, analistas Blackberry Cylance en cuenta que Ratsnif no puede ser llamado una obra de arte cibernético espía. El hecho es que una gran parte del código de malware ha sido tomada de fuentes abiertas, y la calidad general del desarrollo es evaluado por los expertos como baja: durante el análisis, un insecto fue detectado en el código de malware relacionado con la violación de la lectura de la memoria.
“Ratsnif es un intrigante descubrimiento, teniendo en cuenta la longitud de tiempo que no se detectó, probablemente debido a la implementación limitada. Ofrece una rara visión de dos años de desarrollo de funciones, que nos permite observar cómo los útiles actores de amenazas a medida para sus propósitos nefastos”, - Informe de especialistas Blackberry Cylance.
Al mismo tiempo, según los investigadores, Ratsnif no cumple con los estándares más altos de malware OceanLotus habitual.
