html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Раскрыта кибершпионская кампания хакерской группы RANCOR, направленная против фирм из Юго-Восточной Азии

Компания Palo Alto Networks разоблачила деятельность кибершпионской группы RANCOR, атакующей компании в Сингапуре, Камбодже и Таиланде.

Эксперты считают, что данная группировка стоит за созданием трояна KHRAT, который тоже применялся для атак на предприятия в странах Юго-Восточной Азии. Однако ранее эту малварь связывали с группой DragonOK.

В настоящее время хакеры из RANCOR преимущественно используют против своих целей таргетированные атаки и два семейства малвари: DDKONG и PLAINTEE. Как правило злоумышленники присылают своим будущим жертвам письма-приманки с  документами, в которых содержатся новостные статьи на политические темы. Такие документы размещаются на легитимных сайтах, в том числе на Facebook или официальном сайте камбоджийского правительства.

Однако кибершпионскую кампанию удалось обнаружить именно благодаря вышеупомянутому KHRAT. Наблюдая за активностью этого вредоноса и его управляющей инфраструктурой, специалисты заметили, что в феврале 2018 года один из доменов малвари стал резолвиться на IP-адрес 89.46.222[.]97. Решив изучить этот адрес подробнее, аналитики обратились к PassiveTotal и обнаружили несколько доменов, имитирующих легитимные ресурсы крупных технологических компаний (в том числе facebook-apps[.]com).

На этих поддельных сайтах и были найдены несколько версий малвари DDKONG и PLAINTEE. Судя по всему, последняя малварь является наиболее свежей разработкой группировки и пока представлена всего в шести вариациях. Эксперты сумели связать PLAINTEE с двумя инфраструктурными кластерами, которые не пересекаются друг с другом, однако они оба использовались для атак на цели в Юго-Восточной Азии.

Обнаруженные экспертам кластеры

Злоумышленники пользуются различными векторами атак и распространяют среди своих целей вредоносные документы Microsoft Office Excel c макросами, выполняющими запуск малвари; файлы .hta, подгружающие малварь из удаленного источника; а также DLL-загрузчики, которые, к тому же, загружали и открывали во время атак приманки в виде PDF-документов (с легитимных, но скомпрометированных ресурсов). Интересно, что и здесь тоже проявилась связь с трояном KHRAT. Так, документы-приманки были обнаружены на правительственном сайте, который ранее уже использовали для атак KHRAT. Там же хостились два из трех DLL-загрузчиков.

Файл PDF, доставляемый загрузчиком

Эксперты отмечают, что вредонос DDKONG мог использоваться несколькими разными группировками, и применялся с февраля 2017 года, тогда как PLAINTEE определенно является собственной разработкой RANCOR и поступил на вооружение группы лишь в октябре 2017 года.

Одной из отличительных черт PLAINTEE является использование кастомной вариации протокола UDP для связи с удаленными серверам злоумышленников. Все данные малварь передавала в зашифрованном виде. Этот же способ связи применялся для скачивания и выполнения дополнительных вредоносных плагинов. Интересно, что, по мнению специалистов, операторы малвари передавали команды PLAINTEE только вручную.

В заключение отчета аналитики Palo Alto Networks пишут, что продолжат наблюдение за RANCOR и их операциями, так как многое еще предстоит выяснить. Судя по известным на данный момент фактам, группировка специализируется на кибершпионаже с политическим уклоном, так как хакеры определенно не пытаются ограбить своих жертв.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • xakep.ru
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции