Було виявлено нову загрозу зловмисного програмного забезпечення під назвою «DinodasRAT», яке було використано в цілеспрямованій кампанії кібершпигунства проти урядової установи в Гайані.
Кампанія, яку ESET називає «Operation Jacana» на честь водоплавних птахів, які мешкають у південноамериканській країні, може бути пов’язана з (без назви) Спонсоровані китайською державою кібератаки, зазначили дослідники.
Кампанія почалася з цілеспрямованих фішингових електронних листів, у яких згадувалися останні громадські та політичні події Гайани. Потрапивши всередину, зловмисники переміщалися вбік внутрішньою мережею; Потім DinodasRAT використовувався для вилучення файлів, маніпулювання ключами реєстру Windows і виконання команд, згідно з Аналіз ESET операції Jacana у четвер.
Свою назву зловмисне програмне забезпечення отримало завдяки використанню «Din» на початку кожного ідентифікатора жертви, який воно надсилає зловмисникам, і подібності цього рядка до імені маленького хоббіта Дінодаса Брендібака з Володар кілець. Можливо, це пов’язано з цим: DinodasRAT використовує алгоритм шифрування Tiny, щоб заблокувати свої комунікації та дії з викрадання від сторонніх очей.
Робота китайського APT?
ESET із середньою достовірністю відносить кампанію та спеціальний RAT до китайської розширеної постійної загрози (APT), зокрема на основі використання атакою Korplug RAT (він же PlugX) — улюблений інструмент о Групи кіберзагроз, пов’язані з Китаєм, такі як Mustang Panda.
Напад може бути помстою за нещодавні збої в дипломатичних відносинах між Гайаною та Китаєм, за даними ESET, такі як арешт Гайаною трьох осіб у розслідуванні відмивання грошей за участю китайських компаній. Ці звинувачення були спростовані місцевим посольством Китаю.
Цікаво, що в одній із приманок згадувався «втікач із Гайани у В’єтнамі» та було подано зловмисне програмне забезпечення з законного домену, який закінчувався на gov.vn.
«Цей домен вказує на в’єтнамський урядовий веб-сайт; Таким чином, ми вважаємо, що оператори змогли скомпрометувати в’єтнамську державну установу та використати її інфраструктуру для розміщення зразків зловмисного програмного забезпечення», – сказав дослідник ESET Фернандо Тавелла у звіті, знову припускаючи, що ця діяльність є роботою більш досвідченого гравця.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/operation-jacana-dinodasrat-custom-backdoor
- : має
- :є
- $UP
- 10
- 49
- 50
- 7
- a
- Здатний
- За
- діяльності
- діяльність
- просунутий
- Справи
- після
- знову
- проти
- ака
- алгоритм
- Звинувачення
- американська
- аналіз
- та
- APT
- ЕСТЬ
- заарештувати
- AS
- At
- атака
- Атрибути
- геть
- закулісний
- заснований
- BE
- було
- початок
- буття
- Вірити
- Птахи
- порушення
- by
- Виклики
- Кампанія
- китайський
- зв'язку
- Компанії
- компроміс
- довіра
- може
- країна
- виготовлений на замовлення
- Кібербезпека
- щодня
- дані
- Дані порушення
- поставляється
- домен
- охрестили
- кожен
- повідомлення електронної пошти
- з'являються
- шифрування
- закінчення
- суб'єкта
- виконувати
- ексфільтрація
- очі
- Улюблений
- Файли
- для
- свіжий
- від
- є
- урядові
- Групи
- господар
- HTTPS
- ідентифікатори
- in
- вказує
- інформація
- Інфраструктура
- внутрішній
- дослідження
- за участю
- IT
- ЙОГО
- JPG
- ключі
- останній
- законний
- як
- пов'язаний
- місцевий
- шкідливих програм
- середа
- згаданий
- більше
- переїхав
- MPL
- ім'я
- рідний
- мережу
- зазначив,
- of
- on
- один раз
- ONE
- операція
- Оператори
- or
- приватність
- Люди
- може бути
- plato
- Інформація про дані Платона
- PlatoData
- гравець
- політичний
- громадськість
- ЩУР
- останній
- реєстру
- пов'язаний
- відносини
- звітом
- дослідник
- Дослідники
- Виявляє
- право
- s
- Зазначений
- посилає
- складний
- Південь
- почалася
- рядок
- підписуватися
- такі
- цільове
- Що
- Команда
- потім
- це
- ті
- загроза
- загрози
- три
- по всьому
- четвер, четвер
- Таким чином
- до
- інструмент
- Тенденції
- непокритий
- БЕЗ ІМЕНИ
- використання
- використовуваний
- використовує
- Жертва
- В'єтнам
- в'єтнамці
- Уразливості
- було
- вода
- we
- веб-сайт
- тижні
- були
- який
- windows
- з
- Work
- вашу
- зефірнет