Търсене
Close this search box.

Операция ChattyGoblin: хакери атакуват хазартни фирми чрез чат приложения

Компания за хазартни игри във Филипините е била обект на заплаха, свързана с Китай, в рамките на кампания, която продължава от октомври 2021 г.

Словашката фирма за киберсигурност ESET проследява поредица от атаки срещу хазартни компании от Югоизточна Азия под името Операция ChattyGoblin.

„Тези атаки използват специфична тактика: насочват се към агентите за поддръжка на компаниите жертви чрез чат приложения – по-специално приложенията Comm100 и LiveHelp100“, казва ESET в доклад, споделен с The Hacker News.

Използването на троянски инсталатор на Comm100 за доставяне на зловреден софтуер е документирано за първи път от CrowdStrike през октомври 2022 г. Компанията приписва компрометирането на веригата за доставки на извършител, който вероятно е свързан с Китай.

Веригите за атаки използват гореспоменатите чат приложения за разпространение на C# дропър, който на свой ред разгръща друг C# изпълним файл, който в крайна сметка служи като канал за пускане на Cobalt Strike маяк на хакнати работни станции.

В доклада на ESET за активността на APT за периода Q4 2022-Q1 2023 г. са отбелязани и атаките, организирани от свързаните с Индия групи  Donot Team и SideWinder срещу правителствени институции в Южна Азия.

Друг набор от ограничени атаки е свързан с друга индийска APT група, наречена Confucius, която е активна поне от 2013 г. и за която се смята, че има общи връзки с групата Patchwork. В миналото този синдикат е използвал примамки на тема Pegasus и други примамливи документи, за да атакува пакистански правителствени агенции.

Последното проникване, според ESET, е включвало използването на троянски кон за отдалечен достъп, наречен Ragnatela, който е подобрен вариант на BADNEWS RAT.

На друго място компанията за киберсигурност заяви, че е открила ирански извършител, посочен като OilRig (известен още като Hazel Sandstorm), който е внедрил персонализиран имплант с етикет Mango в израелска компания за здравеопазване.

Струва си да се отбележи, че наскоро Microsoft приписа на Storm-0133, нововъзникващ клъстер за заплахи, свързан с иранското Министерство на разузнаването и сигурността (MOIS), атаки, насочени изключително към израелски местни правителствени агенции и компании, обслужващи секторите на отбраната, настаняването и здравеопазването.

„Групата на MOIS е използвала легитимен, но компрометиран израелски уебсайт за командване и контрол (C2), демонстрирайки подобрение на оперативната сигурност, тъй като техниката усложнява усилията на защитниците, които често използват данни за геолокация, за да идентифицират аномална мрежова активност“, отбелязват от Microsoft, като посочват още, че Storm-0133 разчита на зловредния софтуер Mango при тези прониквания.

ESET също така заяви, че неназован индийски доставчик на услуги за управление на данни е бил в края на атака, организирана от подкрепяната от Северна Корея Lazarus Group през януари 2023 г., използвайки примамка за социално инженерство на тема Accenture.

„Целта на нападателите е била да монетизират присъствието си в мрежата на компанията, най-вероятно чрез компрометиране на бизнес електронна поща“, заяви компанията, наричайки това промяна от традиционните си виктимологични модели.

Твърди се също, че през февруари 2023 г. Lazarus Group е проникнала в отбранителен контрактор в Полша чрез фалшиви предложения за работа, за да инициира верига от атаки, която въоръжава модифицирана версия на SumatraPDF с цел разгръщане на RAT, наречен ScoringMathTea, и сложен изтеглен файл с кодово име ImprudentCook.

Списъкът се допълва от spear-phishing дейност от свързани с Русия APT групи като Gamaredon, Sandworm, Sednit, The Dukes и SaintBear, последната от които е засечена да използва актуализирана версия на своята рамка за зловреден софтуер Elephant и нова задна врата, базирана на Go, известна като ElephantLauncher.

Друга забележителна APT активност, забелязана през този период, е тази на Winter Vivern и YoroTrooper, която според ESET силно се припокрива с група, която компанията следи под името SturgeonPhisher от началото на 2022 г.

YoroTrooper е заподозряна в активност поне от 2021 г., като атаките са насочени към правителствени, енергийни и международни организации в Централна Азия и Европа.

Предполага се, че публичното разкриване на тактиките ѝ през март 2023 г. е довело до „голям спад в активността“, което повишава вероятността групата в момента да пренастройва арсенала си и да променя начина си на действие.

Констатациите на ESET следват собствения доклад на Kaspersky за тенденциите в APT за първото тримесечие на 2023 г., който разкри неизвестен досега участник в заплахаизвършител, кръстен Trila, насочен към ливански правителствени структури, използвайки „домашно създаден злонамерен софтуер, който им позволява да изпълняват дистанционно системни команди на Windows на заразени машини“.

Руската компания за киберсигурност обърна внимание и на откриването на нов щам на зловреден софтуер, базиран на Lua, наречен DreamLand, насочен към правителствена структура в Пакистан, което е един от редките случаи, в които APT  използва езика за програмиране в активни атаки.

„Зловредният софтуер е модулен и използва езика за скриптове Lua в комбинация с неговия Just-in-Time (JIT) компилатор, за да изпълнява зловреден код, който е труден за откриване“, заявиха изследователите на Kaspersky.

„Той също така разполага с различни възможности за борба с отстраняването на грешки и използва Windows API чрез Lua FFI, който използва C езикови връзки, за да извършва своите дейности.“

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
28 май 2024

Хакерите се насочват към VPN мрежите на Check P...

Заплахите се насочват към VPN устройствата за отдалечен достъп на C...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!