Kyberbezpečnostným spoločnostiam Trend Micro a Talent-Jump Technologies sa podarilo odhaliť novú kampaň namierenú proti herniam a stávkovým kanceláriám z juhovýchodnej Ázie. Stopy vedú k dvom známym čínskym hackerským skupinám.

Nahlásené, no doposiaľ nepotvrdené prípady kampane DRBControl boli aj v Európe a na Blízkom východe. Skupina hackerov začala rozosielať svojim obetiam čínsky a anglicky písané spear-phishingové e-maily v máji minulého roka. Správy obsahovali infikované Word dokumenty, ktoré po otvorení a spustení makier nainštalovali do počítača dvoje dovtedy neznáme zadné vrátka. Jedným z nich bol backdoor Clambling, ktorý komunikoval s riadiacim serverom útočníkov cez cloudové úložisko Dropbox. Okrem nich páchatelia použili viaceré špeciálne navrhnuté nástroje na zaznamenávanie stlačení klávesníc, kradnutie informácií z clipboardu či útoky hrubou silou, ale aj populárny Cobalt Strike a trójske kone pre vzdialenú správu PlugX a Trochilus.

„Tento aktér preukazuje solídne a pohotové schopnosti pre vývoj vlastného malvéru, ktorý zrejme využíva len on. Kampaň tiež dokazuje, že akonáhle útočník napadne cieľovú entitu, verejne dostupné nástroje mu postačia na získanie právomocí a následný pohyb v sieti a krádež dát.“ Medzi ukradnutými dátami boli rôzne dokumenty, SQL databázy a databázy hesiel z KeePass, cookies z prehliadačov či zdrojové kódy. Podľa výskumníkov sa kampaň DRBControl podobá na prácu dvoch známych čínskych hackerských skupín Winnti Group a Emissary Panda. V prípade Winnti spája oboch aktérov finančná motivácia, výroba vlastných nástrojov, ale hlavne päť rovnakých domén, ktoré pri útokoch použili.

Podľa Trend Micro by preto mohlo ísť o prácu niektorej zo skupín, ktoré názov Winnti Group zastrešuje. „Je veľmi pravdepodobné, že Winnti pozostáva z viacerých úzko prepojených aktérov, ktorí zdieľajú nástroje a časť infraštruktúry. Ako úzko spolupracujú stále nie je známe. Niektorí však špekulujú, že by mohlo ísť o jednu centrálnu skupinu, ktorá pre ostatných vyvíja malvér a iné nástroje, alebo že si každý aktér vyvíja vlastný softvér, ktorý následne zdieľa s ostatnými.“ S Emissary Panda, tiež známou ako LuckyMouse alebo APT27, ich naopak spája použitie backdooru HyperBro, o ktorom doterajšie reporty písali, že ide o nástroj, ktorý exkluzívne využíva len táto skupina.

Zdroj: Cybersec