Търсене
Close this search box.

Компания за хазартни игри във Филипините е била обект на заплаха, свързана с Китай, в рамките на кампания, която продължава от октомври 2021 г.

Словашката фирма за киберсигурност ESET проследява поредица от атаки срещу хазартни компании от Югоизточна Азия под името Операция ChattyGoblin.

„Тези атаки използват специфична тактика: насочват се към агентите за поддръжка на компаниите жертви чрез чат приложения – по-специално приложенията Comm100 и LiveHelp100“, казва ESET в доклад, споделен с The Hacker News.

Използването на троянски инсталатор на Comm100 за доставяне на зловреден софтуер е документирано за първи път от CrowdStrike през октомври 2022 г. Компанията приписва компрометирането на веригата за доставки на извършител, който вероятно е свързан с Китай.

Веригите за атаки използват гореспоменатите чат приложения за разпространение на C# дропър, който на свой ред разгръща друг C# изпълним файл, който в крайна сметка служи като канал за пускане на Cobalt Strike маяк на хакнати работни станции.

В доклада на ESET за активността на APT за периода Q4 2022-Q1 2023 г. са отбелязани и атаките, организирани от свързаните с Индия групи  Donot Team и SideWinder срещу правителствени институции в Южна Азия.

Друг набор от ограничени атаки е свързан с друга индийска APT група, наречена Confucius, която е активна поне от 2013 г. и за която се смята, че има общи връзки с групата Patchwork. В миналото този синдикат е използвал примамки на тема Pegasus и други примамливи документи, за да атакува пакистански правителствени агенции.

Последното проникване, според ESET, е включвало използването на троянски кон за отдалечен достъп, наречен Ragnatela, който е подобрен вариант на BADNEWS RAT.

На друго място компанията за киберсигурност заяви, че е открила ирански извършител, посочен като OilRig (известен още като Hazel Sandstorm), който е внедрил персонализиран имплант с етикет Mango в израелска компания за здравеопазване.

Струва си да се отбележи, че наскоро Microsoft приписа на Storm-0133, нововъзникващ клъстер за заплахи, свързан с иранското Министерство на разузнаването и сигурността (MOIS), атаки, насочени изключително към израелски местни правителствени агенции и компании, обслужващи секторите на отбраната, настаняването и здравеопазването.

„Групата на MOIS е използвала легитимен, но компрометиран израелски уебсайт за командване и контрол (C2), демонстрирайки подобрение на оперативната сигурност, тъй като техниката усложнява усилията на защитниците, които често използват данни за геолокация, за да идентифицират аномална мрежова активност“, отбелязват от Microsoft, като посочват още, че Storm-0133 разчита на зловредния софтуер Mango при тези прониквания.

ESET също така заяви, че неназован индийски доставчик на услуги за управление на данни е бил в края на атака, организирана от подкрепяната от Северна Корея Lazarus Group през януари 2023 г., използвайки примамка за социално инженерство на тема Accenture.

„Целта на нападателите е била да монетизират присъствието си в мрежата на компанията, най-вероятно чрез компрометиране на бизнес електронна поща“, заяви компанията, наричайки това промяна от традиционните си виктимологични модели.

Твърди се също, че през февруари 2023 г. Lazarus Group е проникнала в отбранителен контрактор в Полша чрез фалшиви предложения за работа, за да инициира верига от атаки, която въоръжава модифицирана версия на SumatraPDF с цел разгръщане на RAT, наречен ScoringMathTea, и сложен изтеглен файл с кодово име ImprudentCook.

Списъкът се допълва от spear-phishing дейност от свързани с Русия APT групи като Gamaredon, Sandworm, Sednit, The Dukes и SaintBear, последната от които е засечена да използва актуализирана версия на своята рамка за зловреден софтуер Elephant и нова задна врата, базирана на Go, известна като ElephantLauncher.

Друга забележителна APT активност, забелязана през този период, е тази на Winter Vivern и YoroTrooper, която според ESET силно се припокрива с група, която компанията следи под името SturgeonPhisher от началото на 2022 г.

YoroTrooper е заподозряна в активност поне от 2021 г., като атаките са насочени към правителствени, енергийни и международни организации в Централна Азия и Европа.

Предполага се, че публичното разкриване на тактиките ѝ през март 2023 г. е довело до „голям спад в активността“, което повишава вероятността групата в момента да пренастройва арсенала си и да променя начина си на действие.

Констатациите на ESET следват собствения доклад на Kaspersky за тенденциите в APT за първото тримесечие на 2023 г., който разкри неизвестен досега участник в заплахаизвършител, кръстен Trila, насочен към ливански правителствени структури, използвайки „домашно създаден злонамерен софтуер, който им позволява да изпълняват дистанционно системни команди на Windows на заразени машини“.

Руската компания за киберсигурност обърна внимание и на откриването на нов щам на зловреден софтуер, базиран на Lua, наречен DreamLand, насочен към правителствена структура в Пакистан, което е един от редките случаи, в които APT  използва езика за програмиране в активни атаки.

„Зловредният софтуер е модулен и използва езика за скриптове Lua в комбинация с неговия Just-in-Time (JIT) компилатор, за да изпълнява зловреден код, който е труден за откриване“, заявиха изследователите на Kaspersky.

„Той също така разполага с различни възможности за борба с отстраняването на грешки и използва Windows API чрез Lua FFI, който използва C езикови връзки, за да извършва своите дейности.“

Източник: The Hacker News

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
12/09/2024

PIXHELL позволява прескачан...

Изследовател е представил подробности за нов...
12/09/2024

Пробив на KemperSports зас...

Тази седмица компанията за управление на...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!