Analytikere fra Blackberry Cylance beskrevet APT32 (aka OceanLotus, CobaltKitty, SeaLotus, APT-C-00) gruppe våpen.
Jegt er verdt å minne denne gruppen angrep hovedsakelig utenlandske selskaper som investerer i utvikling av produksjon i Vietnam. De viktigste næringene er detaljhandel, rådgivning og gjestfrihet sektor i henhold til informasjon sikkerhetsspesialister, APT32 fungerer i interessene til den vietnamesiske regjeringen, og angrep kan utføres for å samle informasjon for politiet.En sakkyndiges rapport beskriver i detalj et verktøy som tidligere var ukjent for forskere – RAT Ratsnif (Forskerne studerte sine fire versjoner). Den tidligste versjonen av malware datoer 2016. Tilsynelatende, på den tiden malware var fremdeles på debugging stadium. Den nyeste versjonen ble opprettet i august 2018.
“The trojanere, under aktiv utvikling siden 2016, kombinere evner som pakkekontroll, gateway / enhet ARP forgiftning, DNS forgiftning, HTTP-injeksjon, og MAC spoofing”, - sier forskere fra Blackberry Cylance.
Eksperter oppmerksom på at, i motsetning til tidligere versjoner, den nyeste versjonen av Ratsnif har ikke lenger hardkodet adressene til kontroll servere koden og delegater alle kommunikasjons til malware, som også er installert i offerets system. I tillegg, Dette er den første versjonen der det er en konfigurasjonsfil, samt en rekke nye funksjoner som øker effektiviteten av malware: HTTP sprøyte, protokollen parsing, og interferens med SSL.
Samtidig, Blackberry Cylance analytikere oppmerksom på at Ratsnif kan neppe kalles et verk av cyber-spion art. Faktum er at en stor del av malware koden ble lånt fra åpne kilder, og den generelle kvaliteten på utviklingen av eksperter som lavt: under analysen, en feil ble detektert i skadelig kode relatert til brudd på minnelese.
“Ratsnif er en spennende oppdagelse, vurderer hvor lang tid det forble uoppdaget, sannsynligvis på grunn av begrenset distribusjon. Det gir et sjeldent innblikk i to år med funksjonen utvikling, slik at vi kan observere hvordan trusselaktører skredder verktøy til sine nefarious formål”, - Rapporten spesialister fra Blackberry Cylance.
Samtidig, ifølge forskere, Ratsnif ikke oppfyller heller høye krav til vanlig OceanLotus malware.