多年来,一个代号为DiceyF的源自中国的高级持续威胁 (APT) 组织与针对东南亚在线赌场的一系列攻击有关。
俄罗斯网络安全公司卡巴斯基表示,该活动与另一组归因于Earth Berberoka(又名GamblingPuppet)和DRBControl的入侵相一致,理由是战术和目标相似以及滥用安全消息传递客户端。
研究人员库尔特·鲍姆加特纳(Kurt Baumgartner)和乔治·库切林(Georgy Kucherin)在本周发表的一篇技术文章中说: “可能我们同时进行了间谍活动和 [知识产权] 盗窃,但真正的动机仍然是个谜。”
调查的起点是 2021 年 11 月,当时卡巴斯基表示,它检测到多个PlugX 加载器和其他有效负载,这些负载是通过员工监控服务和安全包部署服务部署的。
该公司表示,最初的感染方法——通过安全解决方案包分发框架——使威胁行为者“能够以某种程度的隐蔽性进行网络间谍活动”。
随后,据说相同的安全包部署服务已被用于交付所谓的 GamePlayerFramework,这是一种基于 C++ 的恶意软件的 C# 变体,称为 PuppetLoader。
研究人员解释说:“这个‘框架’包括下载器、启动器和一组提供远程访问和窃取击键和剪贴板数据的插件。”
有迹象表明,DiceyF 活动是 Earth Berberoka 的后续活动,它使用了一个经过重组的恶意软件工具集,尽管该框架是通过两个独立的分支来维护的,分别称为 Tifa 和 Yuna,它们带有不同复杂程度的不同模块。
虽然 Tifa 分支包含一个下载器和一个核心组件,但 Yuna 在功能方面更为复杂,包含一个下载器、一组插件和至少 12 个 PuppetLoader 模块。也就是说,这两个分支都被认为是积极和增量更新的。
无论采用何种变体,GamePlayerFramework 一旦启动,就会连接到命令和控制 (C2) 并传输有关受感染主机和剪贴板内容的信息,之后 C2 会使用 15 个命令之一进行响应,从而允许恶意软件夺取机器的控制权。
这还包括在受害者系统上启动一个插件,该插件可以在实例化框架时从 C2 服务器下载,也可以使用服务器发送的“InstallPlugin”命令检索。
反过来,这些插件可以从 Google Chrome 和 Mozilla Firefox 浏览器中窃取 cookie,捕获击键和剪贴板数据,设置虚拟桌面会话,甚至可以通过 SSH 远程连接到机器。
卡巴斯基还指出使用了一个恶意应用程序,该应用程序模仿了另一个名为 Mango Employee Account Data Synchronizer 的软件,这是一个用于目标实体的信使应用程序,将 GamePlayerFramework 丢弃在网络中。
“DiceyF 活动和 TTP 有许多有趣的特征,”研究人员说。“该小组会随着时间的推移修改他们的代码库,并在整个入侵过程中开发代码中的功能。”
“为了确保受害者不会对伪装的植入物产生怀疑,攻击者获取了有关目标组织的信息(例如该组织的 IT 部门所在的楼层),并将其包含在显示给受害者的图形窗口中。”
原文始发于微信公众号(KK安全说):中国黑客利用GamePlayerFramework 恶意软件瞄准在线赌场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论