Аналитики Blackberry Cylance рассказали о новом оружии группировки APT32 (она же OceanLotus, CobaltKitty, SeaLotus, APT-C-00). Напомню, что данная группа атакует преимущественно иностранные компании, инвестирующие в развитие производства на территории Вьетнама. Основные отрасли — ретейл, консалтинг и гостиничный сектор. По мнению ИБ-специалистов, APT32 действует в интересах правительства Вьетнама, и атаки могут выполняться для сбора информации правоохранительными органам.
Отчет экспертов в деталях описывает ранее неизвестный исследователям инструмент — RAT Ratsnif (исследователи изучили четыре его версии). Наиболее ранняя версия вредоноса была датирована 2016 годом. Судя по всему, тогда малварь еще находилась на этапе отладки. Наиболее новая версия, также замеченная компанией Macnica Networks, создана уже в августе 2018 года.
Известно, что в настоящее время эта малварь способна осуществлять сниффинг пакетов, «отравлять» ARP, заниматься спуфингом DNS и MAC, реализовать HTTP-редиректы и инжекты, модифицировать SSL, использовать удаленные shell и так далее.
Эксперты отмечают, что в отличие от ранних версий, наиболее свежий вариант Ratsnif уже не имеет в коде жестко закодированных адресов управляющих серверов и делегирует все коммуникации другой малвари, которая так же устанавливается в систему жертвы. Кроме того, это первая версия, в которой присутствует файл конфигурации, а также ряд новых функций, повышающих эффективность вредоноса: HTTP-инжекты, парсинг протоколов, вмешательство в работу SSL.
При этом аналитики Blackberry Cylance отмечают, что Ratsnif вряд ли можно назвать произведением кибершпионского искусства. Дело в том, что немалая часть кода малвари заимствована из открытых источников, а общее качество разработки оценивается экспертами как низкое: в ходе анализа в коде вредоноса даже был обнаружен баг, связанные с нарушением чтения памяти. По мнению исследователей, Ratsnif не соответствует обычным, довольно высоким стандартам вредоносного ПО OceanLotus.
