Analisten van Blackberry Cylance beschreven APT32 (ook bekend als OceanLotus, KobaltKitty, ZeeLotus, APT-C-00) groepswapens.
ikHet is de moeite waard eraan te herinneren dat deze groep voornamelijk buitenlandse bedrijven aanvalt die investeren in de ontwikkeling van de productie in Vietnam. De belangrijkste industrieën zijn detailhandel, advies- en horecasector Volgens specialisten op het gebied van informatiebeveiliging, APT32 handelt in het belang van de Vietnamese overheid, en aanvallen kunnen worden uitgevoerd om informatie te verzamelen voor wetshandhavingsinstanties.Een deskundigenrapport beschrijft in detail een tool die voorheen onbekend was bij onderzoekers – RAT Rattennif (de onderzoekers bestudeerden de vier versies ervan). De vroegste versie van de malware dateert 2016. Blijkbaar, op dat moment bevond malware zich nog in de foutopsporingsfase. De nieuwste versie is gemaakt in augustus 2018.
“De Trojaanse paarden, sindsdien actief in ontwikkeling 2016, combineer mogelijkheden zoals packet sniffing, gateway/apparaat ARP-vergiftiging, DNS-vergiftiging, HTTP-injectie, en MAC-spoofing”, - zeggen onderzoekers van Blackberry Cylance.
Deskundigen er rekening mee dat, in tegenstelling tot eerdere versies, de meest recente versie van Ratsnif heeft niet langer de hardgecodeerde adressen van de controleservers in de code en delegeert alle communicatie naar malware, die ook in het systeem van het slachtoffer is geïnstalleerd. In aanvulling op, dit is de eerste versie waarin er een configuratiebestand is, evenals een aantal nieuwe functies die de effectiviteit van de malware vergroten: HTTP-injectie, protocol parseren, en interferentie met SSL.
Tegelijkertijd, Blackberry Cylance-analisten merken op dat Ratsnif nauwelijks een kunstwerk van cyberspionage kan worden genoemd. Feit is dat een groot deel van de malwarecode is ontleend aan open bronnen, en de algehele kwaliteit van de ontwikkeling wordt door experts als laag beoordeeld: tijdens de analyse, er is een bug gedetecteerd in de malwarecode die verband houdt met de schending van geheugenlezen.
“Ratsnif is een intrigerende ontdekking, gezien de tijd dat het onopgemerkt bleef, waarschijnlijk vanwege beperkte inzet. Het biedt een zeldzame glimp van twee jaar ontwikkeling van functies, waardoor we kunnen observeren hoe bedreigingsactoren tooling afstemmen op hun snode doeleinden ", - rapporteren specialisten van Blackberry Cylance.
Tegelijkertijd, volgens de onderzoekers, Ratsnif voldoet niet aan de vrij hoge normen van de gebruikelijke OceanLotus-malware.
