CarderPlanet
Professional
- Messages
- 2,552
- Reaction score
- 675
- Points
- 83
Правительственное учреждение в Гайане подверглось атаке в рамках кампании кибершпионажа, получившей название Operation Jacana.
Активность, которая была обнаружена ESET в феврале 2023 года, повлекла за собой фишинговую атаку, которая привела к развертыванию ранее недокументированного имплантата, написанного на C ++, под названием DinodasRAT.
Словацкая фирма по кибербезопасности заявила, что может связать вторжение с известным субъектом угрозы или группой, но со средней степенью уверенности приписала вторжение злоумышленнику China-nexus из-за использования PlugX (он же Korplug), троянца удаленного доступа, распространенного среди китайских хакерских групп.
"Эта кампания была целенаправленной, поскольку злоумышленники создавали свои электронные письма специально для привлечения выбранной ими организации-жертвы", - говорится в отчете ESET, опубликованном в Hacker News.
"После успешной компрометации первоначального, но ограниченного набора компьютеров с помощью DinodasRAT операторы перешли внутрь и взломали внутреннюю сеть цели, где они снова внедрили этот бэкдор".
Заражение началось с фишингового электронного письма, содержащего заминированную ссылку со строками темы, ссылающимися на предполагаемый новостной репортаж о гайанском беглеце во Вьетнаме.
Если получатель нажимает на ссылку, с домена загружается ZIP-архивный файл fta.moit.gov [.]vn, что указывает на компрометацию вьетнамского правительственного веб-сайта для размещения полезной нагрузки.
В ZIP-архив встроен исполняемый файл, который запускает вредоносную программу DinodasRAT для сбора конфиденциальной информации с компьютера жертвы.
DinodasRAT, помимо шифрования информации, которую он отправляет на сервер командования и управления (C2) с использованием алгоритма крошечного шифрования (TEA), предоставляет возможности для извлечения системных метаданных, файлов, манипулирования разделами реестра Windows и выполнения команд.
Также развернуты инструменты для бокового перемещения Korplug и VPN-клиент SoftEther, последний из которых был введен в эксплуатацию другим китайским кластером, отслеживаемым Microsoft как Flax Typhoon.
"Злоумышленники использовали комбинацию ранее неизвестных инструментов, таких как DinodasRAT, и более традиционных бэкдоров, таких как Korplug", - сказал исследователь ESET Фернандо Тавелла.
"Основываясь на фишинговых электронных письмах, используемых для получения первоначального доступа к сети жертвы, операторы отслеживают геополитическую активность своих жертв, чтобы повысить вероятность успеха своей операции".
