Gli hacker prendono di mira i casinò asiatici in una lunga campagna di cyberspionaggio
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 19 Ottobre 2022
Tags: #sicurezza, #cybersecurity, #app, #DiceyF
Tags: #sicurezza, #cybersecurity, #app, #DiceyF
Gli hacker prendono di mira i casinò asiatici in una lunga campagna di cyberspionaggio
Dadi che rotolano in un casinò
Un gruppo di hacker chiamato "DiceyF" è stato osservato che ha implementato un framework di attacco dannoso contro i casinò online con sede nel sud-est asiatico almeno da novembre 2021.
Secondo un nuovo rapporto di Kaspersky, il gruppo DiceyF APT non sembra prendere di mira guadagni finanziari dai casinò, ma conduce invece spionaggio informatico furtivo e furto di proprietà intellettuale.
L'attività DiceyF è in linea con l'"Operazione Earth Berberoka" segnalata da Trend Micro nel marzo 2022, indicando che gli attori delle minacce sono di origine cinese.
Puntare ai casinò
Il framework di attacco utilizzato da APT si chiama "GamePlayerFramework" ed è una riscrittura C# del malware C++ "PuppetLoader".
Il framework include downloader di payload, lanciatori di malware, plug-in, moduli di accesso remoto, keylogger, ladri di appunti e altro ancora.
Gli eseguibili più recenti campionati da Kaspersky sono file .NET a 64 bit, ma ci sono anche eseguibili a 32 bit e DLL in circolazione.
Il framework mantiene due rami, vale a dire "Tifa" e "Yuna", che sono sviluppati separatamente e presentano diversi livelli di sofisticatezza e complessità. "Yuna" è il più sofisticato dei due, osservato anche in natura in seguito.
Dopo che il framework è stato caricato sulla macchina di destinazione, si connette al server C2 e invia pacchetti di heartbeat crittografati XOR ogni 20 secondi, contenenti il nome utente della vittima, lo stato della sessione dell'utente, la dimensione dei registri raccolti e la data e l'ora correnti.
Il C2 può rispondere con una serie di 15 comandi che possono ordinare al framework di raccogliere dati aggiuntivi, eseguire un comando su "cmd.exe", aggiornare la configurazione di C2 e scaricare un nuovo plug-in.
Eventuali plug-in scaricati dal C2 vengono caricati direttamente nel framework senza toccare il disco per ridurre al minimo la probabilità di rilevamento.
Le loro funzioni includono il furto di cookie da Chrome o Firefox, lo strappo dei contenuti degli appunti, la creazione di sessioni di desktop virtuali, lo scatto di schermate, l'esecuzione del port forwarding e altro ancora.
Kaspersky ha anche scoperto che DiceyF utilizza un'app GUI che imita un sincronizzatore di dati dei dipendenti Mango, che rilascia i downloader Yuna all'interno della rete dell'organizzazione.
La falsa app Mango raggiunge i dipendenti delle società di casinò come installatore di un'app di sicurezza, probabilmente inviata dagli attori delle minacce tramite e-mail di phishing.
L'app falsa utilizza tattiche di ingegneria sociale come mostrare il piano in cui è ospitato il dipartimento IT dell'organizzazione target per dare alla vittima l'illusione della legittimità.
L'app si connette alla stessa infrastruttura C2 di GamePlayerFramework ed esfiltra i dati del sistema operativo, del sistema, della rete e dei messaggi di Mango.
"Il codice è soggetto a continue modifiche incrementali e il relativo controllo delle versioni riflette una gestione semi-professionale delle modifiche alla base di codice", spiega Kaspersky.
"Nel tempo, il gruppo ha aggiunto il supporto della libreria Newtonsoft JSON, la registrazione migliorata e la crittografia per la registrazione".
Kaspersky commenta che l'utilizzo di una finestra visibile non la rende adatta solo per ingannare i dipendenti, ma anche efficace contro gli AV, che generalmente trattano gli strumenti basati su GUI con meno sospetto.
Per rendere lo strumento ancora più furtivo contro gli strumenti di sicurezza, gli attori delle minacce lo hanno firmato con un certificato digitale valido rubato, lo stesso utilizzato anche per il framework.
In conclusione, DiceyF ha dimostrato un'eccellente capacità tecnica di adeguare i suoi strumenti alle stranezze di ogni vittima, trasformando nel tempo la sua base di codice man mano che l'intrusione procede.
Sebbene questi attacchi non siano così sofisticati o efficaci come le vere violazioni della catena di approvvigionamento, possono comunque essere difficili da rilevare e fermare, soprattutto quando prendono di mira più dipendenti in un'organizzazione. Diversi giorni di problemi tecnici.