「Operation Jacana」により DinodasRAT カスタム バックドアが明らかに

「DinodasRAT」と呼ばれる新たなマルウェアの脅威が、ガイアナの政府機関に対する標的型サイバースパイ活動に使用された後、発見されました。

ESETは南米の国に生息する水鳥にちなんで「Operation Jacana」と呼んでいるこのキャンペーンに関連している可能性がある（名称不明） 中国国家支援のサイバー攻撃者と研究者は指摘した。

このキャンペーンは、最近のガイアナの公務や政治情勢に言及した標的型スピアフィッシングメールから始まりました。 侵入すると、攻撃者は内部ネットワーク全体を横方向に移動しました。 その後、DinodasRAT はファイルの抽出、Windows レジストリ キーの操作、コマンドの実行に使用されたとのことです。 ESET による木曜の Jacana 運用分析.

このマルウェアの名前は、攻撃者に送信する各被害者識別子の先頭に「Din」が使用されていることと、その文字列が映画に出てくる小さなホビットのディノダス ブランディバックの名前に似ていることに基づいて付けられました。 ロード·オブ·ザ·リング。 おそらく関連します: DinodasRAT は、Tiny 暗号化アルゴリズムを使用して、通信と窃取活動を覗き見から遮断します。

中国人APTの仕業？

ESET は、特に攻撃での Korplug RAT (別名 PlugX) — お気に入りのツール Mustang Panda のような中国と連携したサイバー脅威グループ.

ESETによれば、今回の攻撃は、中国企業が関与したマネーロンダリング捜査でガイアナがXNUMX人を逮捕したことなど、最近のガイアナと中国の外交関係における問題への報復である可能性があるという。 これらの主張には地元の中国大使館が異議を唱えた。

興味深いことに、あるルアーは「ベトナムのガイアナ人逃亡者」について言及しており、gov.vn で終わる正規のドメインからマルウェアを提供していました。

「このドメインはベトナム政府のウェブサイトを示しています。 したがって、オペレータはベトナム政府機関を侵害し、そのインフラストラクチャを利用してマルウェア サンプルをホストすることができたと考えています」と ESET 研究者のフェルナンド タベラ氏はレポートで述べており、この活動がより洗練されたプレイヤーの仕業であることを再度示唆しています。