Контакты
Подписка
МЕНЮ
Контакты
Подписка

DragonOK APT замечена в атаках на правительственные организации Камбоджи

DragonOK APT замечена в атаках на правительственные организации Камбоджи

DragonOK APT замечена в атаках на правительственные организации Камбоджи


04.09.2017



Эксперты по безопасности из компании Palo Alto Networks раскрыли подробности новой хакерской кампании, использующей троян удаленного доступа KHRAT (RAT). Группа DragonOk (также известная как NetTraveler (TravNet), PlugX, Saker, Netbot, DarkStRat и ZeroT i) была впервые обнаружена в сентябре 2014 года исследователями по безопасности из FireEye. В то время FireEye описала две хакерские кампании. Атаки осуществлялись отдельными группами, работающими параллельно в различных регионах Китая.

 Первая группировка под названием Moafee атаковала военные и правительственные организации, вовлеченные в спор о Южно-Китайском море. Как объяснили исследователи из FireEye, взломщики взламывали разные организации и, похоже, работали в провинции Гуандун. Группа атаковала объекты, работающие в сфере оборонной промышленности в Соединенных Штатах. Вторая команда, получившая название DragonOK, провела ряд атак, нацеленных на корпоративный сегмент в Японии и на Тайвани.

 Вначале этого года DragonOK атаковала японские организации в нескольких отраслях промышленности, включая производство, технологию, энергетику, высшее образование и полупроводники.

 Недавняя кампания DragonOK с использованием KHRAT RAT нацелена на жертв, находящихся в Камбодже. KHRAT RAT представляет типичный набор функций RAT, включая удаленный доступ к системе жертвы.

 Ниже приведены основные выводы, представленные исследователями Palo Alto, относительно деятельности DragonOK:

 - Обновлены техники целенаправленного фишинга;

 - Несколько методов для загрузки и выполнения дополнительных функциональных частей вируса с использованием встроенных приложений Windows;

 - Расширена инфраструктура, имитирующая название известной службы хостинга файлов, Dropbox;

 - Скомпрометированные камбоджийские правительственные серверы.

 Хакеры из DragonOK использовали вредоносные файлы, содержащие в названии аббревиатуру "MIWRMP" (многомилионный проект по интегрированному управлению водными ресурсами реки Меконг) и сопроводительный текст внутри документа. Документ вынуждает жертву обманом включить макросы для запуска вредоносного JavaScript-кода. Исходя из названия документа и сайта, через который распространялся вредонос, можно предположить, что атака была нацелена на правительственные организации Камбоджи.

 В ходе атак хакеры использовали доменное имя update.upload-dropbox [.] сom, размещенное на скомпроментированом web-сайте правительства Камбоджи. Образец, обнаруженный на скомпроментированном сервере, использовал приложенее regsvr32.exe для обхода существующих средств защиты Windows.

 Исследователи также заметили, что злоумишленники использовали JavaScript-код для отслеживания посетителей скомпроментированого сайта и собирали такие данные о пользователях, как отпечаток браузера, файлы cookie, реферер и версию Flash Player.

 Исследователи пришли к выводу, что APT DragonOK существенно обновили свои ПО, тактику, методы и процедуры в последние месяцы. Вероятно, это связано с планами усилить свою деятельность в блежайшее время.

Securitylab