«Операція Джакана» розкриває спеціальний бекдор DinodasRAT

Було виявлено нову загрозу зловмисного програмного забезпечення під назвою «DinodasRAT», яке було використано в цілеспрямованій кампанії кібершпигунства проти урядової установи в Гайані.

Кампанія, яку ESET називає «Operation Jacana» на честь водоплавних птахів, які мешкають у південноамериканській країні, може бути пов’язана з (без назви) Спонсоровані китайською державою кібератаки, зазначили дослідники.

Кампанія почалася з цілеспрямованих фішингових електронних листів, у яких згадувалися останні громадські та політичні події Гайани. Потрапивши всередину, зловмисники переміщалися вбік внутрішньою мережею; Потім DinodasRAT використовувався для вилучення файлів, маніпулювання ключами реєстру Windows і виконання команд, згідно з Аналіз ESET операції Jacana у четвер.

Свою назву зловмисне програмне забезпечення отримало завдяки використанню «Din» на початку кожного ідентифікатора жертви, який воно надсилає зловмисникам, і подібності цього рядка до імені маленького хоббіта Дінодаса Брендібака з Володар кілець. Можливо, це пов’язано з цим: DinodasRAT використовує алгоритм шифрування Tiny, щоб заблокувати свої комунікації та дії з викрадання від сторонніх очей.

Робота китайського APT?

ESET із середньою достовірністю відносить кампанію та спеціальний RAT до китайської розширеної постійної загрози (APT), зокрема на основі використання атакою Korplug RAT (він же PlugX) — улюблений інструмент о Групи кіберзагроз, пов’язані з Китаєм, такі як Mustang Panda.

Напад може бути помстою за нещодавні збої в дипломатичних відносинах між Гайаною та Китаєм, за даними ESET, такі як арешт Гайаною трьох осіб у розслідуванні відмивання грошей за участю китайських компаній. Ці звинувачення були спростовані місцевим посольством Китаю.

Цікаво, що в одній із приманок згадувався «втікач із Гайани у В’єтнамі» та було подано зловмисне програмне забезпечення з законного домену, який закінчувався на gov.vn.

«Цей домен вказує на в’єтнамський урядовий веб-сайт; Таким чином, ми вважаємо, що оператори змогли скомпрометувати в’єтнамську державну установу та використати її інфраструктуру для розміщення зразків зловмисного програмного забезпечення», – сказав дослідник ESET Фернандо Тавелла у звіті, знову припускаючи, що ця діяльність є роботою більш досвідченого гравця.