Следующая новость
Предыдущая новость

Китайские хакеры взламывают игорные сайты в Юго-Восточной Азии

19.02.2020 17:42
Китайские хакеры взламывают игорные сайты в Юго-Восточной Азии

Рекомендуем почитать:

Xakep #249. Wi-Fi

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты компаний Trend Micro и Talent-Jump обратили внимание, что с лета 2019 года китайские хакеры атакуют сайты для азартных игр и онлайн-ставок в Юго-Восточной Азии. Неподтвержденные слухи о взломах также поступали из стран Европы и Ближнего Востока.

По данным исследователей, за обнаруженными инцидентами стоит группировка DRBControl. Хакеры похищают БД компаний и исходные коды, но не деньги, то есть главной целью этих атак, судя по всему, является шпионаж.

Тактика DRBControl во многом схожа с инструментами и методами, которые используют другие правительственные хак-группы из Поднебесной: Winnti и Emissary Panda. Впрочем, в настоящее время невозможно судить, действует DRBControl самостоятельно или же по приказу властей. Так, в прошлом году эксперты FireEye писали о том, что некоторые китайские группировки, в свободное от работы время, проводят атаки ради собственный выгоды.

В целом атаки DRBControl не являются ни сложными, ни уникальными. Они начинаются с фишинговых писем, направленных будущим жертвам. Через такие послания сотрудники целевых компаний получают вредоносные документы, а затем и бэкдор-трояны. В работе такая малварь полагается на Dropbox, который используется как управляющий сервер, а также для хранения полезных нагрузок и украденных данных. Отсюда и происходит название группировки — DRBControl (DRopBox Control).

Затем бэкдоры, размещенные в сетях пострадавших компаний, применяются для загрузки других хакерских инструментов и малвари, которые уже используются для бокового перемещения по сети, в поисках ценной информации, которую можно похитить. Так, среди используемых DRBControl инструментов были замечены:

  • инструменты для сканирования серверов NETBIOS;
  • инструменты для брутфорс атак;
  • инструменты для обхода Windows UAC;
  • инструменты для повышения привилегий на зараженном хосте;
  • инструменты для хищения паролей с зараженных хостов;
  • инструменты для кражи данных из буфера обмена;
  • инструменты для загрузки и выполнения вредоносного кода на зараженных хостах;
  • инструменты для получения публичного IP-адреса рабочей станции;
  • инструменты для создания туннелей к внешним сетям.

Исследователи из Talent-Jump пишут, что пристально наблюдали за деятельностью группы в период с июля по сентябрь 2019 года. За это время хакеры успели заразить около 200 компьютеров, используя одну учетную запись Dropbox, и еще около 80 машин были скомпрометированы через другой аккаунт Dropbox.

Так как атаки DRBControl продолжаются по сей день, специалисты обеих компаний включили в свои отчеты индикаторы компрометации (1 , 2), на которые администраторам советуют обратить внимание.

Источник

Последние новости