Site icon Kiber.ba

Operacija ChattyGoblin: Hakeri ciljaju kockarske kompanije putem aplikacija za ćaskanje

Kompanija za kockanje na Filipinima bila je meta hakera u okviru kampanje koja je u toku od oktobra 2021. godine.

Slovačka firma za kibernetičku bezbjednost ESET prati seriju napada na kockarske kompanije iz jugoistočne Azije pod nazivom Operation ChattyGoblin.

„Ovi napadi koriste specifičnu taktiku, ciljanje agenata za podršku kompanija žrtava putem aplikacija za ćaskanje, posebno aplikacija Comm100 i LiveHelp100“ navodi ESET u izvještaju koji je podijeljen za The Hacker News.

Korištenje trojanizovanog Comm100 instalatera za isporuku malicioznog softvera je prvi put dokumentovao CrowdStrike u oktobru 2022. godine. Kompanija je pripisala kompromis u lancu nabavke hakeru koji je vjerovatno povezan s Kinom.

Lanci napada koriste gore pomenute aplikacije za ćaskanje kako bi distribuisali C# dropper koji, zauzvrat, postavlja još jedan C# izvršni fajl, koji na kraju služi kao kanal za ispuštanje Cobalt Strike beacon-a na hakovane radne stanice.

U ESET-ovom izvještaju o aktivnostima APT-a za četvrto tromjesečje 2022. godine, prvo tromjesečje 2023. godine istaknuti su napadi Donot Team-a i SideWinder-a koje su pokrenuli hakeri povezani s Indijom na vladine institucije u Južnoj Aziji.

Još jedan niz ograničenih napada vezan je za drugu indijsku hakersku grupu pod nazivom Confucius koja je aktivna najmanje od 2013. godine i vjeruje se da dijeli veze s grupom Patchwork. Haker je u prošlosti koristio mamce na temu Pegaza i druge dokumente za mamce kako bi ciljao pakistanske vladine agencije.

Najnoviji upad, prema ESET-u, uključivao je korištenje trojanca za daljinski pristup pod nazivom Ragnatela koji je nadograđena varijanta BADNEWS RAT-a.

Na drugom mjestu, kompanija za kibernetičku bezbjednost saopštila je da je otkrila iranskog hakera zvanog OilRig, aka Hazel Sandstorm, koji postavlja prilagođeni implantat s oznakom Mango izraelskoj zdravstvenoj kompaniji.

Vrijedi napomenuti da je Microsoft nedavno pripisao Storm-0133, klaster pretnji koji je u nastajanju povezan s iranskim Ministarstvom obavještajnih poslova i sigurnosti (MOIS), napadima koji su ciljali isključivo na izraelske lokalne vladine agencije i kompanije koje služe sektoru odbrane, smještaja i zdravstvene zaštite.

“MOIS grupa je koristila legitimnu, ali kompromitovanu izraelsku web stranicu za komandu i kontrolu (C2), demonstrujući poboljšanje operativne sigurnosti, budući da tehnika komplikuje napore branitelja, koji često koriste geolokacijske podatke kako bi identifikovali anomalnu mrežnu aktivnost” napominje Microsoft, dalje ukazujući na oslanjanje Storm-0133 na Mango malware u ovim upadima.

ESET je takođe rekao da je neimenovani indijski provajder usluga upravljanja podacima bio na udaru napada koji je pokrenula Lazarus grupa koju podržava Sjeverna Koreja u januaru 2023. godine koristeći mamac društvenog inženjeringa na temu Accenturea.

“Cilj napadača je bio da unovče svoje prisustvo u mreži kompanije, najvjerovatnije putem kompromisa poslovnog email-a” rekla je kompanija, nazvavši to pomakom od svojih tradicionalnih viktimoloških obrazaca.

Za Lazarus Group, u februaru 2023. godine, takođe se navodi da su provalili odbrambenog izvođača u Poljskoj putem lažnih ponuda za posao da pokrene lanac napada koji koristi modifikovanu verziju SumatraPDF-a za postavljanje RAT-a pod nazivom ScoringMathTea i sofistikovanog preuzetog kodnog imena ImprudentCook.

Listu zaokružuje aktivnost krađe identiteta iz hakerskih grupa koje su usklađene sa Rusijom kao što su GamaredonSandwormSednitThe Dukes i SaintBear, od kojih je posljednja otkrivena koristeći ažuriranu verziju svog Elephant malware okvira i roman Go bazirana pozadinska vrata poznata kao ElephantLauncher.

Ostale značajne aktivnosti APT-a uočene u tom vremenskom periodu uključuju Winter Vivern i YoroTrooper, za koje ESET kaže da se snažno preklapaju s grupom koju prati pod imenom SturgeonPhisher od početka 2022. godine.

Do sada prikupljeni dokazi ukazuju na to da je YoroTrooper aktivan najmanje od 2021. godine, s napadima koji izdvajaju vlade, energetiku i međunarodne organizacije širom Centralne Azije i Evrope.

Sumnja se da je javno objelodanjivanje njene taktike u martu 2023. godine dovelo do “velikog pada aktivnosti”, što povećava mogućnost da grupa trenutno obnavlja svoj arsenal i mijenja svoj modus operandi.

ESET-ovi nalazi prate Kaspersky APT izvještaj o trendovima za prvi kvartal 2023. godine, koji je otkrio ranije nepoznatog hakera zvanog Trila koji cilja libanonske vladine entitete koristeći “domaći maliciozni softver koji im omogućava da daljinski izvršavaju Windows sistemske komande na zaraženim mašinama”.

Ruska kompanija za kibernetičku bezbjednost takođe je skrenula pažnju na otkriće novog soja malicioznog softvera baziranog na Lua-u koji se naziva DreamLand koji cilja vladino tijelo u Pakistanu, što je jedan od rijetkih slučajeva kada je haker koristio programski jezik u aktivnim napadima.

“Maliciozni softver je modularan i koristi skriptni jezik Lua u kombinaciji sa svojim kompajlerom Just-in-Time (JIT) za izvršavanje malicioznog koda koji je teško otkriti” kažu Kaspersky istraživači.

„Takođe ima različite mogućnosti protiv otklanjanja grešaka i koristi Windows API-e preko Lua FFI-a, koji koristi veze jezika C za obavljanje svojih aktivnosti.“

Izvor: The Hacker News

Exit mobile version