Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    DragonOK APT замечена в атаках на правительственные организации Камбоджи

DragonOK APT замечена в атаках на правительственные организации Камбоджи


04.09.2017

DragonOK APT замечена в атаках на правительственные организации Камбоджи

Эксперты по безопасности из компании Palo Alto Networks раскрыли подробности новой хакерской кампании, использующей троян удаленного доступа KHRAT (RAT). Группа DragonOk (также известная как NetTraveler (TravNet), PlugX, Saker, Netbot, DarkStRat и ZeroT i) была впервые обнаружена в сентябре 2014 года исследователями по безопасности из FireEye. В то время FireEye описала две хакерские кампании. Атаки осуществлялись отдельными группами, работающими параллельно в различных регионах Китая.

 Первая группировка под названием Moafee атаковала военные и правительственные организации, вовлеченные в спор о Южно-Китайском море. Как объяснили исследователи из FireEye, взломщики взламывали разные организации и, похоже, работали в провинции Гуандун. Группа атаковала объекты, работающие в сфере оборонной промышленности в Соединенных Штатах. Вторая команда, получившая название DragonOK, провела ряд атак, нацеленных на корпоративный сегмент в Японии и на Тайвани.

 Вначале этого года DragonOK атаковала японские организации в нескольких отраслях промышленности, включая производство, технологию, энергетику, высшее образование и полупроводники.

 Недавняя кампания DragonOK с использованием KHRAT RAT нацелена на жертв, находящихся в Камбодже. KHRAT RAT представляет типичный набор функций RAT, включая удаленный доступ к системе жертвы.

 Ниже приведены основные выводы, представленные исследователями Palo Alto, относительно деятельности DragonOK:

 - Обновлены техники целенаправленного фишинга;

 - Несколько методов для загрузки и выполнения дополнительных функциональных частей вируса с использованием встроенных приложений Windows;

 - Расширена инфраструктура, имитирующая название известной службы хостинга файлов, Dropbox;

 - Скомпрометированные камбоджийские правительственные серверы.

 Хакеры из DragonOK использовали вредоносные файлы, содержащие в названии аббревиатуру "MIWRMP" (многомилионный проект по интегрированному управлению водными ресурсами реки Меконг) и сопроводительный текст внутри документа. Документ вынуждает жертву обманом включить макросы для запуска вредоносного JavaScript-кода. Исходя из названия документа и сайта, через который распространялся вредонос, можно предположить, что атака была нацелена на правительственные организации Камбоджи.

 В ходе атак хакеры использовали доменное имя update.upload-dropbox [.] сom, размещенное на скомпроментированом web-сайте правительства Камбоджи. Образец, обнаруженный на скомпроментированном сервере, использовал приложенее regsvr32.exe для обхода существующих средств защиты Windows.

 Исследователи также заметили, что злоумишленники использовали JavaScript-код для отслеживания посетителей скомпроментированого сайта и собирали такие данные о пользователях, как отпечаток браузера, файлы cookie, реферер и версию Flash Player.

 Исследователи пришли к выводу, что APT DragonOK существенно обновили свои ПО, тактику, методы и процедуры в последние месяцы. Вероятно, это связано с планами усилить свою деятельность в блежайшее время.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.