Их цель – не разорить казино, а собрать как можно больше данных с устройств их работников.
https://www.securitylab.ru/upload/ib...x9dbrhqest.jpg
Об атаках APT-группировки DiceyF на онлайн-казино в Юго-Восточной Азии в своем отчете сообщили специалисты из “Лаборатории Касперского”. Согласно отчету, злоумышленники не пытаются заработать на атаках, предпочитая скрытно шпионит за работниками казино и похищать интеллектуальную собственность.
В своих атаках злоумышленники используют вредоносный фреймворк под названием GamePlayerFramework, который на самом деле является вредоносом PuppetLoader, переписанным на C#. Фреймворк включает в себя:<ul><li>Загрузчики полезной нагрузки;</li>
</ul><ul><li>Программы для для запуска вредоносного ПО;</li>
</ul><ul><li>Кейлоггеры;</li>
</ul><ul><li>Приложения-клипперы;</li>
</ul><ul><li>Плагины;</li>
</ul><ul><li>Модули для обеспечения удаленного доступа.</li>
</ul>Самые свежие исполняемые файлы, обнаруженные исследователями ЛК летом этого года, представляют собой 64-битные .NET-файлы. Иногда вместо них используются 32-битные .NET-файлы и DLL-библиотеки.
Фреймворк имеет две ветви под названиями Tifa и Yuna, которые сильно отличаются друг от друга. Ветвь Tifa состоит только из загрузчика и "основного" модуля; ветвь Yuna состоит из загрузчика, плагинов и около десятка различных компонентов PuppetLoader. Эксперты отмечают, что даже загрузчики почти не похожи друг на друга.
https://www.securitylab.ru/upload/im...t-img(608).png
Процесс загрузки фреймворка, подробно разобранный “Лабораторией Касперского”.
Загрузившись на устройство жертвы, фреймворк подключается к C&amp;C-серверу и каждые 20 секунд отправляет злоумышленникам heartbeat-пакеты, зашифрованные с помощью гаммирования. Пакеты содержат в себе:<ul><li>Имя пользователя жертвы;</li>
</ul><ul><li>Статус пользовательской сессии;</li>
</ul><ul><li>Размер собранных логов;</li>
</ul><ul><li>Текущие дату и время.</li>
</ul>C&amp;C-сервер может ответить набором из 15 команд, которые могут заставить фреймворк собрать дополнительные данные, запустить командную строку, обновить конфигурацию C&amp;C-сервера и загрузить новый плагин. Все загруженные плагины отправляются непосредственно во фреймворк, не оставляя следов на диске, чтобы понизить вероятность обнаружения.
Дополнительные плагины могут позволяют злоумышленникам похищать cookie-файлы из браузеров Chrome и Firefox, перехватывать содержимое буфера обмена, запускать виртуальный рабочий стол, создавать скриншоты и еще много всего другого.
Исследователи “Лаборатории Касперского” также обнаружили, что DiceyF использует приложение с графическим интерфейсом, имитирующее Mango Employee Data Synchronizer, через которое злоумышленники отправляют загрузчики Yuna в сеть организации. Поддельное приложение попадает на компьютеры сотрудников онлайн-казино под видом антивирусных программ, которые хакеры распространяют с помощью фишинговых писем.
Чтобы усыпить внимание жертвы, разработчики применили хитрую тактику социальной инженерии: приложение показывает этаж, на котором расположен IT-отдел целевой организации.
https://www.securitylab.ru/upload/im...t-img(609).png
Поддельное GUI-приложение, используемое DiceyF.
Приложение подключается к той же C&amp;C-инфраструктуре, что и GamePlayerFramework. После подключения оно начинает передавать злоумышленникам данные ОС, системы, мессенджера Mango, а также сетевые данные.
Исследователи добавили, что графический интерфейс не только отлично усыпляет бдительность сотрудников, но и хорошо себя показывает против антивирусных программ, которые относятся к программам с графическим интерфейсом с меньшим подозрением. Помимо всего вышеперечисленного, злоумышленники подписали инструмент украденным цифровым сертификатом, который используется и для фреймворка.
https://www.securitylab.ru/upload/im...t-img(610).png
Украденный действующий сертификат, которым подписано большинство инструментов DiceyF.
В заключении эксперты ЛК отметили, что DiceyF продемонстрировала то, как легко она адаптирует свои инструменты под жертв, меняя кодовую базу и добавляя новые функции прямо во время атак.