Эксперты по безопасности из компании Palo Alto Networks раскрыли подробности новой хакерской кампании, использующей троян удаленного доступа KHRAT (RAT). Группа DragonOk (также известная как NetTraveler (TravNet), PlugX, Saker, Netbot, DarkStRat и ZeroT i) была впервые обнаружена в сентябре 2014 года исследователями по безопасности из FireEye. В то время FireEye описала две хакерские кампании. Атаки осуществлялись отдельными группами, работающими параллельно в различных регионах Китая.
Первая группировка под названием Moafee атаковала военные и правительственные организации, вовлеченные в спор о Южно-Китайском море. Как объяснили исследователи из FireEye, взломщики взламывали разные организации и, похоже, работали в провинции Гуандун. Группа атаковала объекты, работающие в сфере оборонной промышленности в Соединенных Штатах. Вторая команда, получившая название DragonOK, провела ряд атак, нацеленных на корпоративный сегмент в Японии и на Тайвани.
Вначале этого года DragonOK атаковала японские организации в нескольких отраслях промышленности, включая производство, технологию, энергетику, высшее образование и полупроводники.
Недавняя кампания DragonOK с использованием KHRAT RAT нацелена на жертв, находящихся в Камбодже. KHRAT RAT представляет типичный набор функций RAT, включая удаленный доступ к системе жертвы.
Ниже приведены основные выводы, представленные исследователями Palo Alto, относительно деятельности DragonOK:
- Обновлены техники целенаправленного фишинга;
- Несколько методов для загрузки и выполнения дополнительных функциональных частей вируса с использованием встроенных приложений Windows;
- Расширена инфраструктура, имитирующая название известной службы хостинга файлов, Dropbox;
- Скомпрометированные камбоджийские правительственные серверы.
Хакеры из DragonOK использовали вредоносные файлы, содержащие в названии аббревиатуру "MIWRMP" (многомилионный проект по интегрированному управлению водными ресурсами реки Меконг) и сопроводительный текст внутри документа. Документ вынуждает жертву обманом включить макросы для запуска вредоносного JavaScript-кода. Исходя из названия документа и сайта, через который распространялся вредонос, можно предположить, что атака была нацелена на правительственные организации Камбоджи.
В ходе атак хакеры использовали доменное имя update.upload-dropbox [.] сom, размещенное на скомпроментированом web-сайте правительства Камбоджи. Образец, обнаруженный на скомпроментированном сервере, использовал приложенее regsvr32.exe для обхода существующих средств защиты Windows.
Исследователи также заметили, что злоумишленники использовали JavaScript-код для отслеживания посетителей скомпроментированого сайта и собирали такие данные о пользователях, как отпечаток браузера, файлы cookie, реферер и версию Flash Player.
Исследователи пришли к выводу, что APT DragonOK существенно обновили свои ПО, тактику, методы и процедуры в последние месяцы. Вероятно, это связано с планами усилить свою деятельность в блежайшее время.