'Chiến dịch Jacana' tiết lộ cửa hậu tùy chỉnh DinodasRAT

'Chiến dịch Jacana' tiết lộ cửa hậu tùy chỉnh DinodasRAT

Dấu thời gian: 5:2023 chiều ngày 5 tháng 20 năm XNUMX
'Chiến dịch Jacana' tiết lộ thông tin dữ liệu PlatoBlockchain cửa sau tùy chỉnh DinodasRAT. Tìm kiếm dọc. Ái.

Một mối đe dọa phần mềm độc hại mới có tên là “DinodasRAT” đã được phát hiện sau khi được sử dụng trong một chiến dịch gián điệp mạng có mục tiêu chống lại một thực thể chính phủ ở Guyana.

Chiến dịch mà ESET gọi là “Chiến dịch Jacana” theo tên các loài chim nước có nguồn gốc từ quốc gia Nam Mỹ này, có thể được liên kết với (không được đặt tên) Những kẻ tấn công mạng được nhà nước Trung Quốc bảo trợ, các nhà nghiên cứu lưu ý.

Chiến dịch bắt đầu với các email lừa đảo có mục tiêu đề cập đến các vấn đề chính trị và công cộng gần đây của Guyan. Sau khi xâm nhập, những kẻ tấn công di chuyển ngang qua mạng nội bộ; DinodasRAT sau đó được sử dụng để lọc các tệp, thao tác các khóa đăng ký Windows và thực thi các lệnh, theo Phân tích thứ năm của ESET về hoạt động Jacana.

Phần mềm độc hại có tên dựa trên việc sử dụng “Din” ở đầu mỗi mã nhận dạng nạn nhân mà nó gửi cho những kẻ tấn công và chuỗi đó giống với tên của người hobbit nhỏ bé Dinodas Brandybuck trong Chúa tể của những chiếc nhẫn. Có lẽ có liên quan: DinodasRAT sử dụng thuật toán mã hóa Tiny để khóa các hoạt động liên lạc và lấy cắp thông tin khỏi những con mắt tò mò.

Công việc của APT Trung Quốc?

ESET quy chiến dịch và RAT tùy chỉnh cho một mối đe dọa dai dẳng (APT) nâng cao của Trung Quốc với độ tin cậy trung bình, đặc biệt dựa trên việc sử dụng công cụ tấn công của cuộc tấn công. Korplug RAT (còn gọi là PlugX) - một công cụ yêu thích của Các nhóm đe dọa mạng liên kết với Trung Quốc như Mustang Panda.

Theo ESET, cuộc tấn công có thể nhằm trả đũa những trục trặc gần đây trong quan hệ ngoại giao Guyana-Trung Quốc, chẳng hạn như việc Guyana bắt giữ ba người trong một cuộc điều tra rửa tiền liên quan đến các công ty Trung Quốc. Những cáo buộc đó đã bị đại sứ quán Trung Quốc tại địa phương phản bác.

Điều thú vị là một kẻ dụ dỗ đã đề cập đến “một kẻ đào tẩu Guyana ở Việt Nam” và phát tán phần mềm độc hại từ một tên miền hợp pháp có đuôi gov.vn.

“Miền này biểu thị một trang web của chính phủ Việt Nam; do đó, chúng tôi tin rằng các nhà điều hành có thể xâm nhập một cơ quan chính phủ Việt Nam và sử dụng cơ sở hạ tầng của cơ quan đó để lưu trữ các mẫu phần mềm độc hại,” nhà nghiên cứu Fernando Tavella của ESET cho biết trong báo cáo – một lần nữa cho thấy rằng hoạt động này là hoạt động của một kẻ chơi tinh vi hơn.

Cập nhật các mối đe dọa an ninh mạng mới nhất, các lỗ hổng mới được phát hiện, thông tin vi phạm dữ liệu và các xu hướng mới nổi. Được gửi hàng ngày hoặc hàng tuần ngay trong hộp thư đến của bạn.

Dấu thời gian:

Thêm từ Đọc tối