Η «Επιχείρηση Jacana» αποκαλύπτει την προσαρμοσμένη κερκόπορτα του DinodasRAT

Μια νέα απειλή κακόβουλου λογισμικού με την ονομασία «DinodasRAT» αποκαλύφθηκε, αφού χρησιμοποιήθηκε σε μια στοχευμένη εκστρατεία κυβερνοκατασκοπείας εναντίον μιας κυβερνητικής οντότητας στη Γουιάνα.

Η εκστρατεία, την οποία η ESET αποκαλεί «Επιχείρηση Jacana» από τα υδρόβια πουλιά που είναι εγγενή στη χώρα της Νότιας Αμερικής, θα μπορούσε να συνδεθεί με (χωρίς όνομα) Κυβερνοεπιτιθέμενοι υπό την αιγίδα του κινεζικού κράτους, σημείωσαν οι ερευνητές.

Η εκστρατεία ξεκίνησε με στοχευμένα μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) που αναφέρονταν σε πρόσφατες δημόσιες και πολιτικές υποθέσεις της Γουιάνας. Μόλις μπουν, οι εισβολείς κινήθηκαν πλευρικά σε όλο το εσωτερικό δίκτυο. Το DinodasRAT χρησιμοποιήθηκε στη συνέχεια για την εξαγωγή αρχείων, το χειρισμό κλειδιών μητρώου των Windows και την εκτέλεση εντολών, σύμφωνα με Ανάλυση της Πέμπτης της ESET για τη λειτουργία Jacana.

Το κακόβουλο λογισμικό πήρε το όνομά του με βάση τη χρήση του "Din" στην αρχή καθενός από τα αναγνωριστικά του θύματος που στέλνει στους εισβολείς και την ομοιότητα αυτής της συμβολοσειράς με το όνομα του υποκοριστικού χόμπιτ Dinodas Brandybuck από Ο Άρχοντας των Δαχτυλιδιών. Ίσως σχετικό: Το DinodasRAT χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης Tiny για να κλειδώσει τις επικοινωνίες και τις δραστηριότητες διήθησής του από τα αδιάκριτα βλέμματα.

Το έργο ενός κινεζικού APT;

Η ESET αποδίδει την καμπάνια και το προσαρμοσμένο RAT σε μια κινεζική προηγμένη επίμονη απειλή (APT) με μέτρια εμπιστοσύνη, με βάση ιδίως τη χρήση του Korplug RAT (γνωστός και ως PlugX) — αγαπημένο εργαλείο του Ομάδες κυβερνοαπειλής ευθυγραμμισμένες με την Κίνα, όπως η Mustang Panda.

Η επίθεση θα μπορούσε να είναι αντίποινα για πρόσφατους λόξυγκας στις διπλωματικές σχέσεις Γουιάνας-Κίνας, σύμφωνα με την ESET, όπως η σύλληψη τριών ατόμων από τη Γουιάνα σε μια έρευνα για ξέπλυμα βρώμικου χρήματος στην οποία εμπλέκονται κινεζικές εταιρείες. Αυτοί οι ισχυρισμοί αμφισβητήθηκαν από την τοπική κινεζική πρεσβεία.

Είναι ενδιαφέρον ότι ένα δέλεαρ ανέφερε έναν «Γουιάνα φυγά στο Βιετνάμ» και εξυπηρέτησε κακόβουλο λογισμικό από έναν νόμιμο τομέα που τελειώνει σε gov.vn.

"Αυτός ο τομέας υποδεικνύει έναν κυβερνητικό ιστότοπο του Βιετνάμ. Επομένως, πιστεύουμε ότι οι φορείς εκμετάλλευσης μπόρεσαν να διακυβεύσουν μια κυβερνητική οντότητα του Βιετνάμ και να χρησιμοποιήσουν την υποδομή της για να φιλοξενήσουν δείγματα κακόβουλου λογισμικού», δήλωσε ο ερευνητής της ESET Fernando Tavella στην έκθεση — υποδηλώνοντας και πάλι ότι η δραστηριότητα είναι έργο ενός πιο εξελιγμένου παίκτη.