Раскрыта кибершпионская кампания хакерской группы RANCOR, направленная против фирм из Юго-Во

needfortrane

Модератор
Команда форума
Регистрация
21.04.18
Автор темы #1
Компания Palo Alto Networks разоблачила деятельность кибершпионской группы RANCOR, атакующей компании в Сингапуре, Камбодже и Таиланде.

Эксперты считают, что данная группировка стоит за созданием трояна KHRAT, который тоже применялся для атак на предприятия в странах Юго-Восточной Азии. Однако ранее эту малварь связывали с группой DragonOK.


В настоящее время хакеры из RANCOR преимущественно используют против своих целей таргетированные атаки и два семейства малвари: DDKONG и PLAINTEE. Как правило злоумышленники присылают своим будущим жертвам письма-приманки с документами, в которых содержатся новостные статьи на политические темы. Такие документы размещаются на легитимных сайтах, в том числе на Facebook или официальном сайте камбоджийского правительства.

Однако кибершпионскую кампанию удалось обнаружить именно благодаря вышеупомянутому KHRAT. Наблюдая за активностью этого вредоноса и его управляющей инфраструктурой, специалисты заметили, что в феврале 2018 года один из доменов малвари стал резолвиться на IP-адрес 89.46.222[.]97. Решив изучить этот адрес подробнее, аналитики обратились к PassiveTotal и обнаружили несколько доменов, имитирующих легитимные ресурсы крупных технологических компаний (в том числе facebook-apps[.]com).

На этих поддельных сайтах и были найдены несколько версий малвари DDKONG и PLAINTEE. Судя по всему, последняя малварь является наиболее свежей разработкой группировки и пока представлена всего в шести вариациях. Эксперты сумели связать PLAINTEE с двумя инфраструктурными кластерами, которые не пересекаются друг с другом, однако они оба использовались для атак на цели в Юго-Восточной Азии.

proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp-content%2Fuploads%2F2018%2F06%2F175512%2FRANCOR_1-768x481.png&hash=d6dc673ca9c8741b4a008bfca90548bf

Обнаруженные экспертам кластеры
Злоумышленники пользуются различными векторами атак и распространяют среди своих целей вредоносные документы Microsoft Office Excel c макросами, выполняющими запуск малвари; файлы .hta, подгружающие малварь из удаленного источника; а также DLL-загрузчики, которые, к тому же, загружали и открывали во время атак приманки в виде PDF-документов (с легитимных, но скомпрометированных ресурсов). Интересно, что и здесь тоже проявилась связь с трояном KHRAT. Так, документы-приманки были обнаружены на правительственном сайте, который ранее уже использовали для атак KHRAT. Там же хостились два из трех DLL-загрузчиков.

proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp-content%2Fuploads%2F2018%2F06%2F175512%2FRANCOR_4-768x552.png&hash=e00955a7aefd9179277bada45e1c0379

Файл PDF, доставляемый загрузчиком
Эксперты отмечают, что вредонос DDKONG мог использоваться несколькими разными группировками, и применялся с февраля 2017 года, тогда как PLAINTEE определенно является собственной разработкой RANCOR и поступил на вооружение группы лишь в октябре 2017 года.

Одной из отличительных черт PLAINTEE является использование кастомной вариации протокола UDP для связи с удаленными серверам злоумышленников. Все данные малварь передавала в зашифрованном виде. Этот же способ связи применялся для скачивания и выполнения дополнительных вредоносных плагинов. Интересно, что, по мнению специалистов, операторы малвари передавали команды PLAINTEE только вручную.

В заключение отчета аналитики Palo Alto Networks пишут, что продолжат наблюдение за RANCOR и их операциями, так как многое еще предстоит выяснить. Судя по известным на данный момент фактам, группировка специализируется на кибершпионаже с политическим уклоном, так как хакеры определенно не пытаются ограбить своих жертв.
 
Сверху