Μια ομάδα από hackers με το όνομα “DiceyF” στοχεύει online καζίνο με έδρα τη Νοτιοανατολική Ασία, τουλάχιστον από τον Νοέμβριο του 2021. Σύμφωνα με μια νέα της Kaspersky, οι hackers δεν φαίνεται να έχουν οικονομικά κίνητρα, αλλά στοχεύουν τα καζίνο με σκοπό την κατασκοπεία και την κλοπή πνευματικής ιδιοκτησίας.
Αξίζει να σημειωθεί ότι η κακόβουλη δραστηριότητα της hacking ομάδας DiceyF ευθυγραμμίζεται με την “Επιχείρηση Earth Berberoka” που αναφέρθηκε από την Trend Micro τον Μάρτιο του 2022, υποδεικνύοντας και οι δύο ότι οι παράγοντες απειλής είναι κινεζικής καταγωγής.
Δείτε επίσης: Verizon: Ενημερώνει πελάτες για παραβίαση λογαριασμών
Στόχευση καζίνο: Attack framework
Το attack framework που χρησιμοποιείται από τους hackers ονομάζεται “GamePlayerFramework” και είναι ένα C# rewrite του C++ malware “PuppetLoader”. Το framework διαθέτει προγράμματα λήψης κακόβουλου payload, malware launchers, plugins, remote access modules, keyloggers, clipboard stealers και πολλά άλλα.
Τα πιο πρόσφατα εκτελέσιμα αρχεία που είδαν οι ερευνητές της Kaspersky να χρησιμοποιούνται, είναι αρχεία .NET 64 bit, αλλά υπάρχουν επίσης 32-bit executables και DLLs.
Το framework διατηρεί δύο branches:”Tifa” και “Yuna“, που αναπτύσσονται χωριστά και διαθέτουν διαφορετικά επίπεδα πολυπλοκότητας, σύμφωνα με τους ερευνητές. Το “Yuna” είναι πιο εξελιγμένο.
Αφού φορτωθεί το attack framework στο μηχάνημα του στόχου, συνδέεται με τον C2 server και στέλνει XOR-encrypted heartbeat packets κάθε 20 δευτερόλεπτα, που περιέχουν το όνομα χρήστη του θύματος, την κατάσταση του user session, το μέγεθος των συλλεγόμενων αρχείων καταγραφής και την τρέχουσα ημερομηνία και ώρα.
Δείτε επίσης: Malware dev ισχυρίζεται ότι πουλά το νέο bootkit BlackLotus Windows UEFI
Ο C2 server μπορεί δώσει τουλάχιστον 15 εντολές, που επιτρέπουν στο framework να συλλέξει πρόσθετα δεδομένα, να εκτελέσει μια εντολή στο “cmd. exe”, να κατεβάσει ένα νέο plugin και άλλα. Τα plugins που μπορεί να ληφθούν φορτώνονται απευθείας στο framework και δεν έχουν σχέση με το δίσκο για να μην είναι εύκολος ο εντοπισμός. Τα πρόσθετα μπορούν να κλέψουν cookies από το Chrome ή τον Firefox, να αποσπάσουν περιεχόμενο από το clipboard, να δημιουργήσουν virtual desktop sessions, να τραβήξουν screenshots, να εκτελέσουν port forwarding και πολλά άλλα.
Fake Mango app
Οι ερευνητές της Kaspersky ανακάλυψαν, επίσης, ότι οι hackers DiceyF χρησιμοποιούν μια εφαρμογή GUI που μιμείται ένα Mango Employee Data Synchronizer, που εγκαθιστά προγράμματα λήψης του Yuna στο δίκτυο του οργανισμού.
Η ψεύτικη εφαρμογή φθάνει στους υπαλλήλους των εταιρειών καζίνο σαν installer μιας εφαρμογής ασφαλείας, και πιθανότατα στέλνεται από τους φορείς απειλών μέσω phishing emails. Η εφαρμογή συνδέεται στην ίδια υποδομή C2 με το GamePlayerFramework και εξάγει δεδομένα λειτουργικού συστήματος, συστήματος, δικτύου και δεδομένα του Mango messenger.
Δείτε επίσης: Ένα zero-day στο Windows Mark of the Web αποκτά ανεπίσημη ενημέρωση
Η Kaspersky παρατηρεί ότι η hacking ομάδα που στοχεύει τα online καζίνο στην Ασία, βελτιώνει τον κώδικα της και προσθέτει νέες λειτουργίες για να έχουν οι εκστρατείες κυβερνοκατασκοπείας περισσότερες πιθανότητες επιτυχίας.
Οι ερευνητές λένε ότι οι hackers DiceyF είναι εξαιρετικοί στο να προσαρμόζουν τα εργαλεία τους στις ιδιαιτερότητες κάθε θύματος.
Αν και αυτές οι επιθέσεις στα online καζίνο δεν είναι τόσο περίπλοκες ή αποτελεσματικές όσο οι πραγματικές supply chain επιθέσεις, μπορεί να είναι δύσκολο να εντοπιστούν και να σταματήσουν, ειδικά όταν στοχεύουν πολλούς υπαλλήλους σε έναν οργανισμό.
Πηγή: www.bleepingcomputer.com