DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice
probiv

СМИ Китайские хакеры взламывают игорные сайты в Юго-Восточной Азии

Филин

На страже качества
Заблокирован
Продавец

Филин

На страже качества
Заблокирован
Продавец
Статус
Offline
Регистрация
29 Сен 2019
Сообщения
578
Реакции
62
Покупки через Гарант
0
Продажи через Гарант
1
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Эксперты компаний Trend Micro и Talent-Jump обратили внимание, что с лета 2019 года китайские хакеры атакуют сайты для азартных игр и онлайн-ставок в Юго-Восточной Азии. Неподтвержденные слухи о взломах также поступали из стран Европы и Ближнего Востока.
По данным исследователей, за обнаруженными инцидентами стоит группировка DRBControl. Хакеры похищают БД компаний и исходные коды, но не деньги, то есть главной целью этих атак, судя по всему, является шпионаж.
Тактика DRBControl во многом схожа с инструментами и методами, которые используют другие правительственные хак-группы из Поднебесной: Winnti и Emissary Panda. Впрочем, в настоящее время невозможно судить, действует DRBControl самостоятельно или же по приказу властей. Так, в прошлом году эксперты FireEye писали о том, что некоторые китайские группировки, в свободное от работы время, проводят атаки ради собственный выгоды.
В целом атаки DRBControl не являются ни сложными, ни уникальными. Они начинаются с фишинговых писем, направленных будущим жертвам. Через такие послания сотрудники целевых компаний получают вредоносные документы, а затем и бэкдор-трояны. В работе такая малварь полагается на Dropbox, который используется как управляющий сервер, а также для хранения полезных нагрузок и украденных данных. Отсюда и происходит название группировки — DRBControl (DRopBox Control).
Затем бэкдоры, размещенные в сетях пострадавших компаний, применяются для загрузки других хакерских инструментов и малвари, которые уже используются для бокового перемещения по сети, в поисках ценной информации, которую можно похитить. Так, среди используемых DRBControl инструментов были замечены:
  • инструменты для сканирования серверов NETBIOS;
  • инструменты для брутфорс атак;
  • инструменты для обхода Windows UAC;
  • инструменты для повышения привилегий на зараженном хосте;
  • инструменты для хищения паролей с зараженных хостов;
  • инструменты для кражи данных из буфера обмена;
  • инструменты для загрузки и выполнения вредоносного кода на зараженных хостах;
  • инструменты для получения публичного IP-адреса рабочей станции;
  • инструменты для создания туннелей к внешним сетям.
Исследователи из Talent-Jump пишут, что пристально наблюдали за деятельностью группы в период с июля по сентябрь 2019 года. За это время хакеры успели заразить около 200 компьютеров, используя одну учетную запись Dropbox, и еще около 80 машин были скомпрометированы через другой аккаунт Dropbox.
Так как атаки DRBControl продолжаются по сей день, специалисты обеих компаний включили в свои отчеты индикаторы компрометации, на которые администраторам советуют обратить внимание.
 
Сверху