OceanLotus APT Group, también conocido como APT32, SeaLotus y CobaltKitty, utiliza un conjunto de troyanos de acceso remoto denominado "Ratsnif" para aprovechar las nuevas capacidades de ataque en la red.
Se cree que OceanLotus APT es un grupo patrocinado por el estado de Vietnam, que se especializa en operaciones de ciberespionaje. El grupo ha estado activo desde al menos el 2013 y se dirige principalmente a empresas extranjeras interesadas en los sectores de manufactura, productos de consumo y hospitalidad de Vietnam. Los hackers generalmente combinan malware único con herramientas disponibles comercialmente, como Cobalt Strike.
Los expertos del equipo de investigación de amenazas de Blackberry Cylance detectaron y analizaron cuatro muestras de la familia Ratsnif RAT que muestran su evolución desde una versión de depuración a un troyano completamente funcional con una gran cantidad de capacidades, que incluyen características como rastreo de paquetes, envenenamiento de ARP, DNS y spoofing de MAC, HTTP redirección e inyección, secuestro de SSL y configuración de acceso remoto a shell.
Las tres de las cuatro versiones analizadas se remontan a 2016, mientras que la última se compiló en el 2018. Dos de las tres muestras de 2016 parecen ser versiones en desarrollo y pruebas, pero la tercera, creada el 13 de septiembre de 2016, fue “una de los anteriores Ratsnifs que implementará OceanLotus en el medio natural ". Esta variante no tenía la funcionalidad de la cepa 2018, pero podría configurar una shell remota y servir para el envenenamiento ARP (para dirigir el tráfico a través del Ratsnif), DNS spoofing, y redirección de HTTP.
Al ejecutarse, Ratsnif crea un mutex de ejecución una vez llamado "onceinstance", inicializa la versión 2.2 de Winsock y recopila información del sistema como el nombre de usuario, el nombre del equipo, la configuración de la estación de trabajo (a través de la API de NetWkstaGetInfo), el directorio del sistema de Windows y la información del adaptador de red. Los datos recopilados se envían al servidor C2 del atacante a través de un HTTP.
Todas las muestras de Ratsnif observadas se han codificado de forma rígida con uno o más dominios C2, aunque parece que solo uno de ellos estuvo activo alguna vez.
A diferencia de la variante 2016, la última versión no depende de C2 para su funcionamiento y también es la primera versión que introduce un archivo de configuración junto con nuevas capacidades, como la inyección HTTP, el análisis de protocolos y el secuestro de SSL.
La variante de 2018 emplea varios rastreadores para recopilar información confidencial de paquetes y para minimizar la cantidad de datos que el atacante tiene que recopilar, exfiltrar y procesar. También da una pista sobre qué tipo de información le interesa al atacante.
“Ratsnif es un descubrimiento intrigante considerando el tiempo que ha permanecido sin ser detectado, probablemente debido a un despliegue limitado. Ofrece una visión rara de más de dos años de desarrollo de funciones, lo que nos permite observar cómo los actores de amenazas adaptan el trabajo a sus propósitos nefarios. Si bien todas las muestras se prestan en gran medida de código / fragmentos de código abierto, la calidad general del desarrollo se considera deficiente. En pocas palabras, Ratsnif no cumple con los altos estándares habituales observados en el malware de OceanLotus ”, concluyeron los investigadores.
