OceanLotus yang juga dijuluki sebagai APT32 dan APT-C-00 adalah kelompok APT (Advanced Persistent Threat) yang selama beberapa tahun terakhir telah melakukan operasi pengintaian digital canggih, membangun infrastruktur serangan besar-besaran dari situs web yang mereka kuasai.

OceanLotus memasang target tinggi terhadap sasaran-sasaran high profile seperti korporat dan pemerintahan di Asia tenggara khususnya di Vietnam, Filipina, Laos dan Kamboja. Kelompok yang ditengarai memiliki sumber daya yang kuat ini diduga berasal dari Vietnam, dikenal karena mengintegrasikan kreasi mereka sendiri dengan teknik tertentu yang menuai banyak keberhasilan.

OceanLotus tentu saja tidak akan puas dengan apa yang telah mereka peroleh selama ini, mereka masih terus bergerak aktif dalam cyberspionage, pengintaian dan pencurian kekayaan intelektual. Penelitian terbaru dari ESET diketahui bahwa kelompok ini memiliki backdoor berbahaya yang memberi akses dari jauh kepada operatornya ke perangkat yang dikompromikan. Backdoor berisi rangkaian fungsionalitas, terutama sejumlah alat untuk arsip, registry dan proses manipulasi, serta pemuatan komponen tambahan.

Untuk menyelundupkan backdoor ke mesin yang ditargetkan, kelompok tersebut menggunakan dua tahap serangan dimana paket pertama mendapat pijakan pada sistem dan menyiapkan segala sesuatunya untuk backdoor itu sendiri. Proses ini melibatkan beberapa tipu daya yang umumnya terkait dengan korban yang menjadi target operasi.

Tipu daya OceanLotus

Serangan biasanya kemungkinan besar dimulai melalui email spearphishing untuk memancing korban yang dituju agar menjalankan dropper berbahaya, yang dilampirkan ke email. Untuk meningkatkan kemungkinan korban yang tidak menaruh curiga akan benar-benar mengekliknya, pelaku menyamarkannya sebagai dokumen atau spreadsheet dengan menampilkan ikon palsu.

Ketika korban mengklik lampiran, dropper membuka dokumen yang dilindungi kata sandi sebagai cara untuk mengalihkan perhatian korban sementara dropper menjalankan aktivitas jahatnya. Jadi tidak ada eksploitasi perangkat lunak yang dibutuhkan.

Pelaku menggunakan sejumlah dokumen umpan. Untuk meningkatkan keasliannya, setiap file memiliki nama yang dibuat hati-hati dan biasanya bahasa Inggris. ESET sebagai antivirus terbaik dan antivirus super ringan mampu mendeteksi file dan mengenalinya sebagai Win32/ TrojanDropper.Agent.RUI.

Selain itu, OceanLotus juga dikenal menggunakan serangan watering hole, yang melibatkan kompromi sebuah situs web yang kemungkinan akan dikunjungi korban. Dalam skenario ini, mangsa ditipu untuk mengunduh dan menjalankan installer atau update palsu untuk perangkat lunak populer dari situs web jebakan. Apapun metode kompromi, akhirnya backdoor yang sama dikerahkan.

Menurut analisis ESET, teknik watering hole mungkin telah digunakan untuk mendistribusikan dropper yang disebut RobototFontUpdate.exe, yang merupakan updater palsu untuk font reguler Roboto Slab dan fitur.

Komponen paket dropper dijalankan dalam beberapa langkah; setiap tahap melibatkan dosis kode yang berat yang dirancang untuk melindungi malware dari deteksi. Untuk mengarahkan para periset dan perangkat lunak anti-malware agar tertipu, beberapa kode sampah juga disertakan.

Jika dijalankan dengan hak istimewa administrator, dropper akan membuat Windows service yang akan membuatnya mampu bertahan dalam sistem meski di-reboot sekalipun. Jika tidak, tujuan yang sama dicapai dengan merusak registri sistem operasi.

Selain itu, paket tersebut menjatuhkan aplikasi yang tujuan utamanya adalah untuk menghapus dokumen umpan setelah memenuhi misinya.

OceanLotus

Yang paling penting, dua file lagi di-drop dan mulai dimainkan selama tahap ini, lalu sebuah executable yang ditandatangani secara digital dari pengembang perangkat lunak utama dan yang sah dan Dynamic Link Library (DLL) yang berbahaya dinamai sesuai dengan yang digunakan oleh executable yang sah.

Dua file dalam sebuah trik coba-coba disebut DLL side-loading yang terdiri dari mengkooptasi proses aplikasi library loading yang sah dengan menanam DLL jahat di dalam folder yang sama dengan yang dapat ditandatangani. Ini adalah cara untuk tetap berada di bawah radar, karena aplikasi tepercaya dengan tanda tangan yang sah cenderung meminimalisasi kecurigaan.

Dalam oeprasi yang menggunakan alat OceanLotus baru ini, ESET melihat penyebaran antara lain, executable asli RasTlsc.exe dari Symantec dan mcoemcpy.exe dari McAfee. Saat dijalankan, program-program ini memasukkan rastls.dll yang telah disediakan, yang terdeteksi oleh ESET sebagai Win32/Salgorea.BD dan McUtil.dll terdeteksi sebagai Win32/Korplug.MK.

Backdoor terbuka

Setelah didekripsi, backdoor mengambil sidik jari dari sistem. Ia mengirimkan berbagai data seperti nama komputer dan pengguna dan versi sistem operasi, sebelum menunggu perintah untuk menjalankan misi utamanya.

Sejumlah nama domain dan alamat IP digunakan untuk infrastruktur command and control (C&C). Semua komunikasi dengan server C&C dienkripsi. Hal ini agar tidak mudah untuk diacak, namun begitu kunci dekripsi ditambahkan ke data.

Penelitian ESET yang mendalam terhadap operasi perampokan terbaru OceanLotus menunjukkan bahwa kelompok tersebut tidak membiarkan upayanya dan menggabungkan kode yang sah dan alat yang tersedia untuk umum dengan ciptaannya yang berbahaya. Kelompok ini dengan jelas berusaha keras untuk melewati deteksi malware dan mengelabui para peneliti keamanan siber.