'Operation Jacana' afslører DinodasRAT Custom Backdoor

Genudgivet af Platon

Abonnenter: 0

'Operation Jacana' afslører DinodasRAT Custom Backdoor PlatoBlockchain Data Intelligence. Lodret søgning. Ai.

En ny malwaretrussel kaldet "DinodasRAT" er blevet afsløret efter at være blevet brugt i en målrettet cyberspionagekampagne mod en statslig enhed i Guyana.

Kampagnen, som ESET kalder "Operation Jacana" efter vandfugle, der er hjemmehørende i det sydamerikanske land, kunne linkes til (unavngivet) Kinesiske statsstøttede cyberangribere, bemærkede forskere.

Kampagnen startede med målrettede spear-phishing-e-mails, der refererede til nylige Guyanesiske offentlige og politiske anliggender. Når angriberne først var kommet ind, bevægede angriberne sig sideværts gennem det interne netværk; DinodasRAT blev derefter brugt til at eksfiltrere filer, manipulere Windows registreringsdatabasenøgler og udføre kommandoer ifølge ESETs torsdagsanalyse af Jacana-operationen.

Malwaren fik sit navn baseret på brugen af "Din" i begyndelsen af hver af de offeridentifikatorer, den sender til angriberne, og den strengs lighed med navnet på den lille hobbitt Dinodas Brandybuck fra The Lord of the Rings. Måske relateret: DinodasRAT bruger Tiny-krypteringsalgoritmen til at låse sine kommunikations- og eksfiltrationsaktiviteter fra nysgerrige øjne.

Arbejdet med en kinesisk APT?

ESET tilskriver kampagnen og den tilpassede RAT til en kinesisk avanceret vedvarende trussel (APT) med medium tillid, især baseret på angrebets brug af Korplug RAT (aka PlugX) — et yndet værktøj af Kina-tilpassede cybertrusselgrupper som Mustang Panda.

Angrebet kan ifølge ESET være en gengældelse for nylige hikke i de diplomatiske forbindelser mellem Guyana og Kina, såsom Guyanas anholdelse af tre personer i en efterforskning om hvidvaskning af penge, der involverer kinesiske virksomheder. Disse påstande blev bestridt af den lokale kinesiske ambassade.

Interessant nok nævnte en lokke en "guyansk flygtning i Vietnam" og serverede malware fra et legitimt domæne, der ender med gov.vn.

"Dette domæne angiver et vietnamesisk statsligt websted; Derfor mener vi, at operatørerne var i stand til at kompromittere en vietnamesisk statslig enhed og bruge dens infrastruktur til at hoste malware-prøver,” sagde ESET-forsker Fernando Tavella i rapporten – hvilket igen antyder, at aktiviteten er en mere sofistikeret spillers arbejde.

Hold dig opdateret med de seneste cybersikkerhedstrusler, nyopdagede sårbarheder, oplysninger om databrud og nye tendenser. Leveres dagligt eller ugentligt lige til din e-mail-indbakke.

Tilmeld

SEO Powered Content & PR Distribution. Bliv forstærket i dag.
PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
Kilde: https://www.darkreading.com/threat-intelligence/operation-jacana-dinodasrat-custom-backdoor

Tidsstempel: Oktober 5, 2023

Tidsstempel: Jan 2, 2024

Genudgivet af Platon

Arbejdet med en kinesisk APT?

Kina-forbundet trusselskuespiller skjuler sig via 'ejendommelig' malware

(ISC)² rekrutterer mere end 55,000 cybersikkerhedskandidater i de første 30 dage med nye programmer for at afhjælpe kløften i arbejdsstyrken

CyberRatings.org annoncerer resultater fra første af sin slags sammenlignende test på Cloud Network Firewall

Tilliden til datagendannelsesværktøjer lav

Hvad er dine undtagelsesforventninger?

Emirates CISO'er markerer voldsomme cybersikkerhedsgaps

Om os

Vertikal søgning & Ai

perron

Stay Connected

Konto