黑客在漫长的网络间谍活动中瞄准了亚洲赌场
<p><img src="https://www.usdt94.top/upload/forum/img/1696560808849098005.jpg" title="1696560808849098005.jpg" alt="QQ截图20231006105312.jpg" id="img_upload" width="787" height="458"/></p><p><br/></p><p><span style="font-size: 20px;">至少从2021年11月开始,一个名为 “DiceyF “的黑客组织被观察到对设在东南亚的在线赌场部署了一个恶意攻击框架。</span></p><p><br/></p><p><span style="font-size: 20px;">根据卡巴斯基的一份新报告,DiceyF APT组织似乎并不以赌场的财务收益为目标,而是进行隐蔽的网络间谍和知识产权盗窃。</span></p><p><br/></p><p><span style="font-size: 20px;">DiceyF的活动与趋势科技在2022年3月报告的 “Operation Earth Berberoka “相一致,都指向威胁者是来自中国的。</span></p><p><br/></p><p><span style="font-size: 20px;">巴西逮捕了与Lapsus$黑客组织有关的嫌犯</span></p><p><br/></p><p><span style="font-size: 20px;">以赌场为目标</span></p><p><br/></p><p><span style="font-size: 20px;">APT使用的攻击框架名为 “GamePlayerFramework”,是C++恶意软件 “PuppetLoader “的C#重写。</span></p><p><br/></p><p><span style="font-size: 20px;">该框架具有有效载荷下载器、恶意软件启动器、插件、远程访问模块、键盘记录器、剪贴板窃取器等。</span></p><p><br/></p><p><span style="font-size: 20px;">卡巴斯基最近采样的可执行文件是64位.NET文件,但也有32位可执行文件和DLL在流通。</span></p><p><br/></p><p><span style="font-size: 20px;">该框架有两个分支,即 “Tifa “和 “Yuna”,它们是单独开发的,具有不同的复杂程度。”Yuna “是这两个中更复杂的,后来也在野外观察到。</span></p><p><br/></p><p><span style="font-size: 20px;">框架加载到目标机器上后,它连接到C2服务器,每20秒发送一次XOR加密的心跳数据包,包含受害者的用户名、用户会话状态、收集的日志大小以及当前日期和时间。</span></p><p><br/></p><p><span style="font-size: 20px;">C2可以用一组15个命令来回应,这些命令可能命令框架收集额外的数据,执行 “cmd.exe “的命令,更新C2的配置,并下载一个新的插件。</span></p><p><br/></p><p><span style="font-size: 20px;">任何从C2下载的插件都会直接加载到框架中而不接触磁盘,以尽量减少被发现的可能性。</span></p><p><br/></p><p><span style="font-size: 20px;">它们的功能包括从Chrome或Firefox窃取cookie,抢夺剪贴板内容,建立虚拟桌面会话,抓取屏幕截图,执行端口转发,等等。</span></p><p><br/></p><p><span style="font-size: 20px;">伪造的Mango应用程序</span></p><p><br/></p><p><span style="font-size: 20px;">卡巴斯基还发现,DiceyF正在使用一个模仿Mango员工数据同步器的GUI应用程序,在组织的网络内投放Yuna下载器。</span></p><p><br/></p><p><span style="font-size: 20px;">假的芒果应用作为安全应用的安装程序到达赌场公司的员工,很可能是威胁者通过钓鱼邮件发送的。</span></p><p><br/></p><p><span style="font-size: 20px;">假的应用程序使用社会工程战术,如显示目标组织的IT部门所在的楼层,让受害者产生合法的错觉。</span></p><p><br/></p><p><span style="font-size: 20px;">该应用程序连接到与GamePlayerFramework相同的C2基础设施,并渗出操作系统、系统、网络数据和芒果信使数据。</span></p><p><br/></p><p><span style="font-size: 20px;">“代码处于持续的增量变化之下,其版本划分反映了对代码库修改的半专业管理,”卡巴斯基解释说。</span></p><p><br/></p><p><span style="font-size: 20px;">“随着时间的推移,该小组增加了Newtonsoft JSON库的支持,增强了日志记录,并对日志进行了加密”。</span></p><p><br/></p><p><span style="font-size: 20px;">卡巴斯基评论说,使用可见的窗口并不意味着它只适合欺骗员工,也有利于对付AV,因为AV一般对待基于GUI的工具的怀疑程度较低。</span></p><p><br/></p><p><span style="font-size: 20px;">为了使该工具对安全工具更加隐蔽,威胁者用偷来的有效数字证书对其进行了签名,这个证书也是用于框架的。</span></p><p><br/></p><p><span style="font-size: 20px;">总之,DiceyF已经表现出优秀的技术能力,可以根据每个受害者的古怪情况调整其工具,随着入侵的进展,逐渐转变其代码库。</span></p><p><br/></p><p><span style="font-size: 20px;">虽然这些攻击不像实际的供应链破坏那样复杂或有效,但它们仍然很难被发现和阻止,特别是当它们针对一个组织中的多名员工时。</span></p><p><br/></p><p><span style="font-size: 20px;">赌场在网络安全方面需要不遗余力,采取措施避免带来更多的损失。</span></p> 他们可谓无孔不入,有利润的空间就去钻的 可能是觉得亚洲水平差,想弄死亚洲的。结果还是撞铁板上了 落叶归根 发表于 2023-10-06 11:53:18他们可谓无孔不入,有利润的空间就去钻的
大多数的黑客都是因为利益去攻击赌场。 周星驰 发表于 2023-10-06 11:56:19
可能是觉得亚洲水平差,想弄死亚洲的。结果还是撞铁板上了
如果真是这样的原因,他们这次是看错了亚洲赌场。 我不是IT大佬,很多地方看不懂啊,得再看一遍 亚洲赌场也不弱的,出得起高薪自然有人庇护 <p>这DiceyF黑客真是狡猾,一个一个的渗透进去,还改进代码让防火墙捉襟见肘。</p> <p>他们动机肯定不纯,非法获取别人隐私数据,这种行为还是不应该支持。</p> <p>卡巴斯基能帮助揭露他们的计谋,给其他可能受害公司提个醒,也算是为社会做了一点贡献。</p> <p>这些赌场公司网安工作也该下更大力气</p><p>不仅更新防火墙,也要加强员工安全教育,免得再上当受骗。</p> 去玩儿 发表于 2023-10-06 16:26:41
亚洲赌场也不弱的,出得起高薪自然有人庇护
所以他们的计划就没有完全成功,还给赌场的防御升级了一次。 雨落梧 发表于 2023-10-06 16:28:08
<p>这DiceyF黑客真是狡猾,一个一个的渗透进去,还改进代码让防火墙捉襟见肘。</p>
这不是一般的黑客,为了达到目的制造混乱可还是没成功。 旅行家 发表于 2023-10-06 16:29:37
<p>他们动机肯定不纯,非法获取别人隐私数据,这种行为还是不应该支持。</p>
窃取他人信息的行为当然不能允许的。 心如止水 发表于 2023-10-06 16:31:21
<p>卡巴斯基能帮助揭露他们的计谋,给其他可能受害公司提个醒,也算是为社会做了一点贡献。</p>
网络安全防范需要大家来共同维护,这关系到每个人。
页:
[1]
2