Компания за хазартни игри във Филипините е била обект на заплаха, свързана с Китай, в рамките на кампания, която продължава от октомври 2021 г.

Словашката фирма за киберсигурност ESET проследява поредица от атаки срещу хазартни компании от Югоизточна Азия под името Операция ChattyGoblin.

„Тези атаки използват специфична тактика: насочват се към агентите за поддръжка на компаниите жертви чрез чат приложения – по-специално приложенията Comm100 и LiveHelp100“, казва ESET в доклад, споделен с The Hacker News.

Използването на троянски инсталатор на Comm100 за доставяне на зловреден софтуер е документирано за първи път от CrowdStrike през октомври 2022 г. Компанията приписва компрометирането на веригата за доставки на извършител, който вероятно е свързан с Китай.

Веригите за атаки използват гореспоменатите чат приложения за разпространение на C# дропър, който на свой ред разгръща друг C# изпълним файл, който в крайна сметка служи като канал за пускане на Cobalt Strike маяк на хакнати работни станции.

В доклада на ESET за активността на APT за периода Q4 2022-Q1 2023 г. са отбелязани и атаките, организирани от свързаните с Индия групи  Donot Team и SideWinder срещу правителствени институции в Южна Азия.

Друг набор от ограничени атаки е свързан с друга индийска APT група, наречена Confucius, която е активна поне от 2013 г. и за която се смята, че има общи връзки с групата Patchwork. В миналото този синдикат е използвал примамки на тема Pegasus и други примамливи документи, за да атакува пакистански правителствени агенции.

Последното проникване, според ESET, е включвало използването на троянски кон за отдалечен достъп, наречен Ragnatela, който е подобрен вариант на BADNEWS RAT.

На друго място компанията за киберсигурност заяви, че е открила ирански извършител, посочен като OilRig (известен още като Hazel Sandstorm), който е внедрил персонализиран имплант с етикет Mango в израелска компания за здравеопазване.

Струва си да се отбележи, че наскоро Microsoft приписа на Storm-0133, нововъзникващ клъстер за заплахи, свързан с иранското Министерство на разузнаването и сигурността (MOIS), атаки, насочени изключително към израелски местни правителствени агенции и компании, обслужващи секторите на отбраната, настаняването и здравеопазването.

„Групата на MOIS е използвала легитимен, но компрометиран израелски уебсайт за командване и контрол (C2), демонстрирайки подобрение на оперативната сигурност, тъй като техниката усложнява усилията на защитниците, които често използват данни за геолокация, за да идентифицират аномална мрежова активност“, отбелязват от Microsoft, като посочват още, че Storm-0133 разчита на зловредния софтуер Mango при тези прониквания.

ESET също така заяви, че неназован индийски доставчик на услуги за управление на данни е бил в края на атака, организирана от подкрепяната от Северна Корея Lazarus Group през януари 2023 г., използвайки примамка за социално инженерство на тема Accenture.

„Целта на нападателите е била да монетизират присъствието си в мрежата на компанията, най-вероятно чрез компрометиране на бизнес електронна поща“, заяви компанията, наричайки това промяна от традиционните си виктимологични модели.

Твърди се също, че през февруари 2023 г. Lazarus Group е проникнала в отбранителен контрактор в Полша чрез фалшиви предложения за работа, за да инициира верига от атаки, която въоръжава модифицирана версия на SumatraPDF с цел разгръщане на RAT, наречен ScoringMathTea, и сложен изтеглен файл с кодово име ImprudentCook.

Списъкът се допълва от spear-phishing дейност от свързани с Русия APT групи като Gamaredon, Sandworm, Sednit, The Dukes и SaintBear, последната от които е засечена да използва актуализирана версия на своята рамка за зловреден софтуер Elephant и нова задна врата, базирана на Go, известна като ElephantLauncher.

Друга забележителна APT активност, забелязана през този период, е тази на Winter Vivern и YoroTrooper, която според ESET силно се припокрива с група, която компанията следи под името SturgeonPhisher от началото на 2022 г.

YoroTrooper е заподозряна в активност поне от 2021 г., като атаките са насочени към правителствени, енергийни и международни организации в Централна Азия и Европа.

Предполага се, че публичното разкриване на тактиките ѝ през март 2023 г. е довело до „голям спад в активността“, което повишава вероятността групата в момента да пренастройва арсенала си и да променя начина си на действие.

Констатациите на ESET следват собствения доклад на Kaspersky за тенденциите в APT за първото тримесечие на 2023 г., който разкри неизвестен досега участник в заплахаизвършител, кръстен Trila, насочен към ливански правителствени структури, използвайки „домашно създаден злонамерен софтуер, който им позволява да изпълняват дистанционно системни команди на Windows на заразени машини“.

Руската компания за киберсигурност обърна внимание и на откриването на нов щам на зловреден софтуер, базиран на Lua, наречен DreamLand, насочен към правителствена структура в Пакистан, което е един от редките случаи, в които APT  използва езика за програмиране в активни атаки.

„Зловредният софтуер е модулен и използва езика за скриптове Lua в комбинация с неговия Just-in-Time (JIT) компилатор, за да изпълнява зловреден код, който е труден за откриване“, заявиха изследователите на Kaspersky.

„Той също така разполага с различни възможности за борба с отстраняването на грешки и използва Windows API чрез Lua FFI, който използва C езикови връзки, за да извършва своите дейности.“