베리 Cylance에서 분석 APT32 바와 (일명 OceanLotus, CobaltKitty, SeaLotus, APT-C-00) 그룹 무기.
나는t는이 그룹이 베트남 생산 개발에 투자하는 외국 기업을 공격한다는 사실을 상기 할 가치가있다. 주요 산업은 소매입니다, 정보 보안 전문가에 따르면 컨설팅 및 환대 부문, APT32는 베트남 정부의 이익에 역할, 법 집행 기관에 대한 정보를 수집하기 위해 공격을 수행 할 수 있습니다..전문가 보고서 설명 이전에는 연구자들에게 알려지지 않은 도구 – 쥐쥐 (연구원들은 네 가지 버전을 연구했습니다). 맬웨어 날짜의 초기 버전 2016. 분명히, 당시 맬웨어는 여전히 디버깅 단계에있었습니다.. 최신 버전은 8 월에 만들어졌습니다. 2018.
“트로이 목마, 이후 활발한 발전 2016, 패킷 스니핑과 같은 기능 결합, 게이트웨이 / 장치 ARP 중독, DNS 중독, HTTP 주입, MAC 스푸핑”, — Blackberry Cylance 연구원.
전문가들은주의, 이전 버전과 달리, Ratsnif의 최신 버전은 더 이상 코드에 제어 서버의 하드 코딩 된 주소를 가지지 않으며 모든 통신을 맬웨어에 위임합니다., 피해자의 시스템에도 설치됩니다. 게다가, 구성 파일이있는 첫 번째 버전입니다., 멀웨어의 효율성을 높이는 여러 가지 새로운 기능뿐만 아니라: HTTP 주입, 프로토콜 파싱, SSL과의 간섭.
동시에, Blackberry Cylance 분석가들은 Ratsnif를 사이버 스파이 예술 작품이라고 부를 수는 없다고 말합니다.. 사실 악성 코드의 상당 부분이 오픈 소스에서 빌려온 것입니다., 그리고 개발의 전반적인 품질은 전문가에 의해 낮은 것으로 평가됩니다: 분석 중, 메모리 읽기 위반과 관련된 맬웨어 코드에서 버그가 발견되었습니다..
“Ratsnif는 흥미로운 발견입니다, 감지되지 않은 시간을 고려, 배포가 제한되어 있기 때문에. 2 년간의 기능 개발에 대한 희소식, 위협 행위자가 악의적 인 목적에 맞게 툴링을 조정하는 방법을 관찰 할 수 있습니다. ", — Blackberry Cylance의 전문가보고.
동시에, 연구자에 따라, Ratsnif는 일반적인 OceanLotus 악성 코드의 높은 표준을 충족시키지 않습니다.
