Aa Aa Aa

Переполох у Гайані: урядова установа стала ціллю шпигунської операції

Переполох у Гайані: урядова установа стала ціллю шпигунської операції

Бекдор DinodasRAT ідеально виконав своє завдання, надавши хакерам доступ до цільової мережі.

У лютому 2023 року дослідники ESET виявили атаку методом цільового фішингу, яка призвела до розгортання раніше невідомого бекдору на C++ під назвою DinodasRAT.

Ця операція з кібершпигунства отримала назву «Жакана» і була спрямована на одну з урядових установ Гайани, невеликої держави в Південній Америці, що межує з Венесуелою.

Словацька компанія вважає, що за виявленою атакою стоїть APT -угруповання китайського походження. Такі висновки були зроблені переважно через використання хакерами трояна PlugX (він же Korplug), який зазвичай використовують саме китайські кіберзлочинці.

У розгорнутому звіті ESET зазначає: «Ця кампанія була цілеспрямованою, оскільки зловмисники створювали свої електронні листи спеціально для залучення обраної ними організації-жертви».

Ланцюжок атаки стартує з фішингового листа на цільову адресу. Теми листів у рамках шкідливого розсилання були різні, але так чи інакше стосувалися Гаяни. Один із таких листів повідомляв про якогось «гаянського втікача у В'єтнамі». Посилання всередині цього фішингового листа вело на легітимний домен fta.moit.gov [.] vn, що вказує на компрометацію в'єтнамського урядового сайту.

При переході за посиланням на комп'ютер потенційної жертви завантажується ZIP-архів, що містить EXE-файл, що виконується, замаскований під документ Microsoft Word. Запуск цього документа призводить до зараження комп'ютера DinodasRAT і подальшої компрометації цільової мережі.

Крім шифрування інформації, що передається з використанням Tiny Encryption Algorithm ( TEA ), DinodasRAT має здатність витягувати метадані системи, файли, маніпулювати ключами реєстру Windows і виконувати віддалені команди.

У розглянутій кампанії хакерами були розгорнуті інструменти для бічного переміщення в мережі жертв, включаючи вищезгаданий Korplug, а також клієнт SoftEther VPN. Останній, до речі, теж використовувався однією з груп хакерів, асоційованих з Китаєм. Microsoft відстежує цих злочинців під псевдонімом Flax Typhoon.

Дослідник з ESET Фернандо Тавелла заявив: "Грунтуючись на фішингових електронних листах, використаних для отримання початкового доступу до мережі жертви, можна сміливо заявити, що хакери відстежують геополітичну діяльність своїх жертв, щоб підвищити ймовірність успіху операції".

Як показує ця атака, навіть невеликі країни, на кшталт Гаяни, можуть стати мішенню для витончених кібершпигунських операцій із боку іноземних держав. Щоб захистити себе від подібних атак, необхідно інвестувати у надійні системи кібербезпеки та навчання персоналу.