Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Неизвестная APT-группа атакует онлайн-казино в Юго-Восточной Азии

19/10/22

carl-raw-7H7KVCihBvI-unsplash

Об атаках APT-группировки DiceyF на онлайн-казино в Юго-Восточной Азии в своем отчете сообщили специалисты из “Лаборатории Касперского”. Согласно отчету, передает Securitylab, злоумышленники не пытаются заработать на атаках, предпочитая скрытно шпионит за работниками казино и похищать интеллектуальную собственность.

В своих атаках злоумышленники используют вредоносный фреймворк под названием GamePlayerFramework, который на самом деле является вредоносом PuppetLoader, переписанным на C#. Фреймворк включает в себя:

  • Загрузчики полезной нагрузки;
  • Программы для для запуска вредоносного ПО;
  • Кейлоггеры;
  • Приложения-клипперы;
  • Плагины;
  • Модули для обеспечения удаленного доступа.

Самые свежие исполняемые файлы, обнаруженные исследователями ЛК летом этого года, представляют собой 64-битные .NET-файлы. Иногда вместо них используются 32-битные .NET-файлы и DLL-библиотеки.

Фреймворк имеет две ветви под названиями Tifa и Yuna, которые сильно отличаются друг от друга. Ветвь Tifa состоит только из загрузчика и "основного" модуля; ветвь Yuna состоит из загрузчика, плагинов и около десятка различных компонентов PuppetLoader. Эксперты отмечают, что даже загрузчики почти не похожи друг на друга.

Загрузившись на устройство жертвы, фреймворк подключается к C&C-серверу и каждые 20 секунд отправляет злоумышленникам heartbeat-пакеты, зашифрованные с помощью гаммирования. Пакеты содержат в себе:

  • Имя пользователя жертвы;
  • Статус пользовательской сессии;
  • Размер собранных логов;
  • Текущие дату и время.

C&C-сервер может ответить набором из 15 команд, которые могут заставить фреймворк собрать дополнительные данные, запустить командную строку, обновить конфигурацию C&C-сервера и загрузить новый плагин. Все загруженные плагины отправляются непосредственно во фреймворк, не оставляя следов на диске, чтобы понизить вероятность обнаружения.

Дополнительные плагины могут позволяют злоумышленникам похищать cookie-файлы из браузеров Chrome и Firefox, перехватывать содержимое буфера обмена, запускать виртуальный рабочий стол, создавать скриншоты и еще много всего другого.

Исследователи “Лаборатории Касперского” также обнаружили, что DiceyF использует приложение с графическим интерфейсом, имитирующее Mango Employee Data Synchronizer, через которое злоумышленники отправляют загрузчики Yuna в сеть организации. Поддельное приложение попадает на компьютеры сотрудников онлайн-казино под видом антивирусных программ, которые хакеры распространяют с помощью фишинговых писем.

Чтобы усыпить внимание жертвы, разработчики применили хитрую тактику социальной инженерии: приложение показывает этаж, на котором расположен IT-отдел целевой организации.

content-img(609)

Приложение подключается к той же C&C-инфраструктуре, что и GamePlayerFramework. После подключения оно начинает передавать злоумышленникам данные ОС, системы, мессенджера Mango, а также сетевые данные.

Исследователи добавили, что графический интерфейс не только отлично усыпляет бдительность сотрудников, но и хорошо себя показывает против антивирусных программ, которые относятся к программам с графическим интерфейсом с меньшим подозрением. Помимо всего вышеперечисленного, злоумышленники подписали инструмент украденным цифровым сертификатом, который используется и для фреймворка.

Темы:ПреступленияAPT-группыЛКазартные игры
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...