'Jacana 작전'으로 DinodasRAT 맞춤형 백도어 공개

가이아나의 정부 기관을 대상으로 한 표적 사이버 간첩 캠페인에 사용된 "DinodasRAT"이라는 새로운 악성 코드 위협이 발견되었습니다.

ESET가 남미 국가에 서식하는 물새의 이름을 따서 "Jacana 작전"이라고 부르는 이 캠페인은 (이름 없음)과 연결될 수 있습니다. 중국 정부가 후원하는 사이버 공격자, 연구원들은 지적했다.

이 캠페인은 최근 가이아나의 공공 및 정치 문제를 언급하는 표적 스피어 피싱 이메일로 시작되었습니다. 침입한 공격자는 내부 네트워크 전체를 가로질러 이동했습니다. DinodasRAT는 파일 추출, Windows 레지스트리 키 조작, 명령 실행에 사용되었습니다. Jacana 작업에 대한 ESET의 목요일 분석.

이 악성코드는 공격자에게 전송하는 각 피해자 식별자의 시작 부분에 "Din"을 사용하고 해당 문자열이 다음의 작은 호빗인 Dinodas Brandybuck의 이름과 유사하여 이름이 붙여졌습니다. 반지의 제왕. 아마도 관련이 있을 것입니다: DinodasRAT는 Tiny 암호화 알고리즘을 사용하여 통신 및 유출 활동을 엿보는 눈으로부터 차단합니다.

중국 APT의 작업?

ESET은 특히 공격의 공격 사용을 기반으로 중간 신뢰도로 캠페인과 사용자 지정 RAT를 중국 APT(지능형 지속 위협)에 기인한다고 생각합니다. Korplug RAT(일명 PlugX) — 가장 좋아하는 도구 Mustang Panda와 같은 중국 연계 사이버 위협 그룹.

ESET에 따르면 이번 공격은 중국 기업과 관련된 자금세탁 수사에서 가이아나가 XNUMX명을 체포한 등 최근 가이아나-중국 외교 관계에 발생한 차질에 대한 보복일 수 있다고 합니다. 이러한 주장은 현지 중국 대사관에서 이의를 제기했습니다.

흥미롭게도 한 미끼는 "베트남의 가이아나 도망자"를 언급하고 gov.vn으로 끝나는 합법적인 도메인에서 악성 코드를 제공했습니다.

“이 도메인은 베트남 정부 웹사이트를 나타냅니다. 따라서 우리는 운영자가 베트남 정부 기관을 손상시키고 해당 인프라를 사용하여 악성 코드 샘플을 호스팅할 수 있었다고 믿습니다."라고 보고서에서 ESET 연구원인 Fernando Tavella는 말했습니다. 이는 이러한 활동이 보다 정교한 플레이어의 작업임을 다시 한번 시사했습니다.