OceanLotus поставлял SPECTRALVIPER через обновления FireAnt — атаки на инвесторов и стройкомпанию

Коллеги, хочу обратить внимание в сфере кибербезопасности: ESET зафиксировал кампании OceanLotus.
Коротко
- Через обновления FireAnt Metakit доставляли SPECTRALVIPER: version.xml не проверял целостность, что позволило запустить вредоносный загрузчик.
- Доступ к вьетнамской стройкомпании (нояб.2024–февр.2026): DLL side‑loading и инъекции в OneDrive.Sync.Service.exe.
- Тактика: селективная доставка, C2‑каналы, смещение акцента на внутреннюю разведку.
Почему это важно: неподписанные обновления и DLL‑sideloading обходят защиту и компрометируют критические системы.
Что предлагаю: верифицировать подписи обновлений, контролировать целостность, детектировать DLL‑sideloading и патчить публичные MSSQL.
Какой шаг приоритетнее внедрить у нас?
#кибербезопасность #supplychain #APT #обнаружение


Последние комментарии
Комментариев пока нет.