Китайские хакеры взламывают игорные сайты в Юго-Восточной Азии

Китайские хакеры взламывают игорные сайты в Юго-Восточной Азии

Добавлено в закладки: 0

Эксперты компаний Trend Micro и Talent-Jump обратили внимание, что с лета 2019 года китайские хакеры атакуют сайты для азартных игр и онлайн-ставок в Юго-Восточной Азии. Неподтвержденные слухи о взломах также поступали из стран Европы и Ближнего Востока.

По данным исследователей, за обнаруженными инцидентами стоит группировка DRBControl. Хакеры похищают БД компаний и исходные коды, но не деньги, то есть главной целью этих атак, судя по всему, является шпионаж.

Тактика DRBControl во многом схожа с инструментами и методами, которые используют другие правительственные хак-группы из Поднебесной: Winnti и Emissary Panda. Впрочем, в настоящее время невозможно судить, действует DRBControl самостоятельно или же по приказу властей. Так, в прошлом году эксперты FireEye писали о том, что некоторые китайские группировки, в свободное от работы время, проводят атаки ради собственный выгоды.

В целом атаки DRBControl не являются ни сложными, ни уникальными. Они начинаются с фишинговых писем, направленных будущим жертвам. Через такие послания сотрудники целевых компаний получают вредоносные документы, а затем и бэкдор-трояны. В работе такая малварь полагается на Dropbox, который используется как управляющий сервер, а также для хранения полезных нагрузок и украденных данных. Отсюда и происходит название группировки — DRBControl (DRopBox Control).

Затем бэкдоры, размещенные в сетях пострадавших компаний, применяются для загрузки других хакерских инструментов и малвари, которые уже используются для бокового перемещения по сети, в поисках ценной информации, которую можно похитить. Так, среди используемых DRBControl инструментов были замечены:

  • инструменты для сканирования серверов NETBIOS;
  • инструменты для брутфорс атак;
  • инструменты для обхода Windows UAC;
  • инструменты для повышения привилегий на зараженном хосте;
  • инструменты для хищения паролей с зараженных хостов;
  • инструменты для кражи данных из буфера обмена;
  • инструменты для загрузки и выполнения вредоносного кода на зараженных хостах;
  • инструменты для получения публичного IP-адреса рабочей станции;
  • инструменты для создания туннелей к внешним сетям.
Читайте также:   Французы и европейцы обеспокоены возможными террорами одиноких волков, обученных французской армией

Исследователи из Talent-Jump пишут, что пристально наблюдали за деятельностью группы в период с июля по сентябрь 2019 года. За это время хакеры успели заразить около 200 компьютеров, используя одну учетную запись Dropbox, и еще около 80 машин были скомпрометированы через другой аккаунт Dropbox.

Так как атаки DRBControl продолжаются по сей день, специалисты обеих компаний включили в свои отчеты индикаторы компрометации (1 , 2), на которые администраторам советуют обратить внимание.

Источник

Опубликовал(а)

не в сети 10 часов

Андрей Маргулис

Китайские хакеры взламывают игорные сайты в Юго-Восточной Азии 407
С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
28 лет
День рождения: 14 Мая 1991
flagТунис.
Комментарии: 522Публикации: 1125Регистрация: 12-12-2015

Другие записи этого автора:

Понравилась статья? Поделиться с друзьями:
РЭНБИ
Добавить комментарий
Войти с помощью: 
Хроники коронавируса COVID-19
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Войти с помощью: 
Генерация пароля