至少从2021年11月开始,一个名为 “DiceyF “的黑客组织被观察到对设在东南亚的在线赌场部署了一个恶意攻击框架。
根据卡巴斯基的一份新报告,DiceyF APT组织似乎并不以赌场的财务收益为目标,而是进行隐蔽的网络间谍和知识产权盗窃。
DiceyF的活动与趋势科技在2022年3月报告的 “Operation Earth Berberoka “相一致,都指向威胁者是来自中国的。
巴西逮捕了与Lapsus$黑客组织有关的嫌犯
以赌场为目标
APT使用的攻击框架名为 “GamePlayerFramework”,是C++恶意软件 “PuppetLoader “的C#重写。
该框架具有有效载荷下载器、恶意软件启动器、插件、远程访问模块、键盘记录器、剪贴板窃取器等。
卡巴斯基最近采样的可执行文件是64位.NET文件,但也有32位可执行文件和DLL在流通。
该框架有两个分支,即 “Tifa “和 “Yuna”,它们是单独开发的,具有不同的复杂程度。”Yuna “是这两个中更复杂的,后来也在野外观察到。
框架加载到目标机器上后,它连接到C2服务器,每20秒发送一次XOR加密的心跳数据包,包含受害者的用户名、用户会话状态、收集的日志大小以及当前日期和时间。
C2可以用一组15个命令来回应,这些命令可能命令框架收集额外的数据,执行 “cmd.exe “的命令,更新C2的配置,并下载一个新的插件。
任何从C2下载的插件都会直接加载到框架中而不接触磁盘,以尽量减少被发现的可能性。
它们的功能包括从Chrome或Firefox窃取cookie,抢夺剪贴板内容,建立虚拟桌面会话,抓取屏幕截图,执行端口转发,等等。
伪造的Mango应用程序
卡巴斯基还发现,DiceyF正在使用一个模仿Mango员工数据同步器的GUI应用程序,在组织的网络内投放Yuna下载器。
假的芒果应用作为安全应用的安装程序到达赌场公司的员工,很可能是威胁者通过钓鱼邮件发送的。
假的应用程序使用社会工程战术,如显示目标组织的IT部门所在的楼层,让受害者产生合法的错觉。
该应用程序连接到与GamePlayerFramework相同的C2基础设施,并渗出操作系统、系统、网络数据和芒果信使数据。
“代码处于持续的增量变化之下,其版本划分反映了对代码库修改的半专业管理,”卡巴斯基解释说。
“随着时间的推移,该小组增加了Newtonsoft JSON库的支持,增强了日志记录,并对日志进行了加密”。
卡巴斯基评论说,使用可见的窗口并不意味着它只适合欺骗员工,也有利于对付AV,因为AV一般对待基于GUI的工具的怀疑程度较低。
为了使该工具对安全工具更加隐蔽,威胁者用偷来的有效数字证书对其进行了签名,这个证书也是用于框架的。
总之,DiceyF已经表现出优秀的技术能力,可以根据每个受害者的古怪情况调整其工具,随着入侵的进展,逐渐转变其代码库。
虽然这些攻击不像实际的供应链破坏那样复杂或有效,但它们仍然很难被发现和阻止,特别是当它们针对一个组织中的多名员工时。
赌场在网络安全方面需要不遗余力,采取措施避免带来更多的损失。
|