Операция ChattyGoblin: хакери атакуват хазартни фирми чрез чат приложения

Компания за хазартни игри във Филипините е била обект на заплаха, свързана с Китай, в рамките на кампания, която продължава от октомври 2021 г.

Словашката фирма за киберсигурност ESET проследява поредица от атаки срещу хазартни компании от Югоизточна Азия под името Операция ChattyGoblin.

„Тези атаки използват специфична тактика: насочват се към агентите за поддръжка на компаниите жертви чрез чат приложения – по-специално приложенията Comm100 и LiveHelp100“, казва ESET в доклад, споделен с The Hacker News.

Използването на троянски инсталатор на Comm100 за доставяне на зловреден софтуер е документирано за първи път от CrowdStrike през октомври 2022 г. Компанията приписва компрометирането на веригата за доставки на извършител, който вероятно е свързан с Китай.

Веригите за атаки използват гореспоменатите чат приложения за разпространение на C# дропър, който на свой ред разгръща друг C# изпълним файл, който в крайна сметка служи като канал за пускане на Cobalt Strike маяк на хакнати работни станции.

В доклада на ESET за активността на APT за периода Q4 2022-Q1 2023 г. са отбелязани и атаките, организирани от свързаните с Индия групи  Donot Team и SideWinder срещу правителствени институции в Южна Азия.

Друг набор от ограничени атаки е свързан с друга индийска APT група, наречена Confucius, която е активна поне от 2013 г. и за която се смята, че има общи връзки с групата Patchwork. В миналото този синдикат е използвал примамки на тема Pegasus и други примамливи документи, за да атакува пакистански правителствени агенции.

Последното проникване, според ESET, е включвало използването на троянски кон за отдалечен достъп, наречен Ragnatela, който е подобрен вариант на BADNEWS RAT.

На друго място компанията за киберсигурност заяви, че е открила ирански извършител, посочен като OilRig (известен още като Hazel Sandstorm), който е внедрил персонализиран имплант с етикет Mango в израелска компания за здравеопазване.

Струва си да се отбележи, че наскоро Microsoft приписа на Storm-0133, нововъзникващ клъстер за заплахи, свързан с иранското Министерство на разузнаването и сигурността (MOIS), атаки, насочени изключително към израелски местни правителствени агенции и компании, обслужващи секторите на отбраната, настаняването и здравеопазването.

„Групата на MOIS е използвала легитимен, но компрометиран израелски уебсайт за командване и контрол (C2), демонстрирайки подобрение на оперативната сигурност, тъй като техниката усложнява усилията на защитниците, които често използват данни за геолокация, за да идентифицират аномална мрежова активност“, отбелязват от Microsoft, като посочват още, че Storm-0133 разчита на зловредния софтуер Mango при тези прониквания.

ESET също така заяви, че неназован индийски доставчик на услуги за управление на данни е бил в края на атака, организирана от подкрепяната от Северна Корея Lazarus Group през януари 2023 г., използвайки примамка за социално инженерство на тема Accenture.

„Целта на нападателите е била да монетизират присъствието си в мрежата на компанията, най-вероятно чрез компрометиране на бизнес електронна поща“, заяви компанията, наричайки това промяна от традиционните си виктимологични модели.

Твърди се също, че през февруари 2023 г. Lazarus Group е проникнала в отбранителен контрактор в Полша чрез фалшиви предложения за работа, за да инициира верига от атаки, която въоръжава модифицирана версия на SumatraPDF с цел разгръщане на RAT, наречен ScoringMathTea, и сложен изтеглен файл с кодово име ImprudentCook.

Списъкът се допълва от spear-phishing дейност от свързани с Русия APT групи като Gamaredon, Sandworm, Sednit, The Dukes и SaintBear, последната от които е засечена да използва актуализирана версия на своята рамка за зловреден софтуер Elephant и нова задна врата, базирана на Go, известна като ElephantLauncher.

Друга забележителна APT активност, забелязана през този период, е тази на Winter Vivern и YoroTrooper, която според ESET силно се припокрива с група, която компанията следи под името SturgeonPhisher от началото на 2022 г.

YoroTrooper е заподозряна в активност поне от 2021 г., като атаките са насочени към правителствени, енергийни и международни организации в Централна Азия и Европа.

Предполага се, че публичното разкриване на тактиките ѝ през март 2023 г. е довело до „голям спад в активността“, което повишава вероятността групата в момента да пренастройва арсенала си и да променя начина си на действие.

Констатациите на ESET следват собствения доклад на Kaspersky за тенденциите в APT за първото тримесечие на 2023 г., който разкри неизвестен досега участник в заплахаизвършител, кръстен Trila, насочен към ливански правителствени структури, използвайки „домашно създаден злонамерен софтуер, който им позволява да изпълняват дистанционно системни команди на Windows на заразени машини“.

Руската компания за киберсигурност обърна внимание и на откриването на нов щам на зловреден софтуер, базиран на Lua, наречен DreamLand, насочен към правителствена структура в Пакистан, което е един от редките случаи, в които APT  използва езика за програмиране в активни атаки.

„Зловредният софтуер е модулен и използва езика за скриптове Lua в комбинация с неговия Just-in-Time (JIT) компилатор, за да изпълнява зловреден код, който е труден за откриване“, заявиха изследователите на Kaspersky.

„Той също така разполага с различни възможности за борба с отстраняването на грешки и използва Windows API чрез Lua FFI, който използва C езикови връзки, за да извършва своите дейности.“

Източник: The Hacker News

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
27/05/2023

DarkFrost унищожава гейминг...

Наблюдава се нов ботнет, наречен Dark...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!