Stopy vedú k dvom známym čínskym hekerským skupinám.
Kyberbezpečnostným spoločnostiam Trend Micro a Talent-Jump Technologies sa podarilo odhaliť novú kampaň namierenú proti herniam a stávkovým kanceláriám z juhovýchodnej Ázie. Nahlásené, no doposiaľ nepotvrdené prípady kampane DRBControl boli aj v Európe a na Blízkom východe.
Skupina hekerov začala rozosielať svojim obetiam čínsky a anglicky písané spear-phishingové e-maily v máji minulého roka. Správy obsahovali infikované Word dokumenty, ktoré po otvorení a spustení makier nainštalovali do počítača dvoje dovtedy neznáme zadné vrátka.
Jedným z nich bol backdoor Clambling, ktorý komunikoval s riadiacim serverom útočníkov cez cloudové úložisko Dropbox. Okrem nich páchatelia použili viaceré špeciálne navrhnuté nástroje na zaznamenávanie stlačení klávesníc, kradnutie informácií z clipboardu či útoky hrubou silou, ale aj populárny Cobalt Strike a trójske kone pre vzdialenú správu PlugX a Trochilus.
„Tento aktér preukazuje solídne a pohotové schopnosti pre vývoj vlastného malvéru, ktorý zrejme využíva len on. Kampaň tiež dokazuje, že akonáhle útočník napadne cieľovú entitu, verejne dostupné nástroje mu postačia na získanie právomocí a následný pohyb v sieti a krádež dát.“
Medzi ukradnutými dátami boli rôzne dokumenty, SQL databázy a databázy hesiel z KeePass, cookies z prehliadačov či zdrojové kódy.
Winnti alebo Emissary Panda?
Podľa výskumníkov sa kampaň DRBControl podobá na prácu dvoch známych čínskych hekerských skupín Winnti Group a Emissary Panda.
V prípade Winnti spája oboch aktérov finančná motivácia, výroba vlastných nástrojov, ale hlavne päť rovnakých domén, ktoré pri útokoch použili.
Podľa Trend Micro by preto mohlo ísť o prácu niektorej zo skupín, ktoré názov Winnti Group zastrešuje.
„Je veľmi pravdepodobné, že Winnti pozostáva z viacerých úzko prepojených aktérov, ktorí zdieľajú nástroje a časť infraštruktúry. Ako úzko spolupracujú stále nie je známe. Niektorí však špekulujú, že by mohlo ísť o jednu centrálnu skupinu, ktorá pre ostatných vyvíja malvér a iné nástroje, alebo že si každý aktér vyvíja vlastný softvér, ktorý následne zdieľa s ostatnými.“
S Emissary Panda, tiež známou ako LuckyMouse alebo APT27, ich naopak spája použitie backdooru HyperBro, o ktorom doterajšie reporty písali, že ide o nástroj, ktorý exkluzívne využíva len táto skupina.
(VK)