Аналитики "Касперского" поделились результатами исследования APT, получившей название "DiceyF" и нацеленной на онлайн-казино и других жертв в Юго-Восточной Азии. GamePlayerFramework позволяет DiceyF осуществлять кибершпионскую деятельность с определенной степенью скрытности.
GamePlayerFramework - это полная переработка на C# ранее известной вредоносной программы PuppetLoader на C++/ассемблере. Этот "фреймворк" включает в себя загрузчики, программы запуска и набор плагинов, которые обеспечивают удаленный доступ и крадут нажатия клавиш и данные буфера обмена. В течение нескольких месяцев разработчики DiceyF добавили дополнительные возможности шифрования, чтобы лучше скрыть свою деятельность по ведению журналов и мониторингу.
Метод первоначального заражения примечателен тем, что фреймворк распространяется через установочные пакеты, развернутые через центры управления решениями безопасности. Кроме того, компоненты этого фреймворка подписаны цифровым сертификатом, что повышает доверие к нему со стороны решений безопасности.
Чтобы еще больше замаскировать вредоносные компоненты, злоумышленники добавили к некоторым из них графический интерфейс. Такие имплантаты маскируются под компоненты мессенджера, который используется в организациях жертв. Чтобы у жертв не возникло подозрений относительно замаскированных имплантатов, злоумышленники получали информацию об организациях-жертвах (например, этаж, на котором расположен IT-отдел организации) и включали ее в графические окна, демонстрируемые жертвам.
Indicators of Compromise
IPv4
- 202.182.115.238
- 45.77.47.149
Domains
- apps.imangolm.com
- archivess.imangoim.net
- quic.flashesplayer.com
MD5
- 031466c63bba4eafb11f2966e765c0d2
- 06711900cc5d7cd665bc1b6ec9d7eacf
- 07d6bf2df064e97d0e635a67f083f87d
- 07ff76be283fb44ce9e9427e12e63aa6
- 0ac4e0e08bd28e88acd4991071c98261
- 0c4dae01f21c3d2fa55f38314fe34958
- 193d192ed0cec2487d18b13aedc94cb6
- 19f8809d04c06bba2ad95a937f133a89
- 1d59e527886e4bd72df0f609239b9d58
- 294c22533c950d7d9d74a82729ba3841
- 2bd3b84b318beb5714cac9194078607a
- 39736c93f7d9cc62cdc00438c174f8a4
- 3a1780e6fb6250b0fb63d2884788670e
- 49b457ee8eaa83b18cc00d2f579824c6
- 4d72e573d9c4d31371c8020ba7179daf
- 56836b19b5c35c81e006f4843ff63e51
- 969ef4a64203ba2ab54a6822559600cc
- cb8a30fcbcb462be66462f6928c6e44a
- ddbc9081ed2c503c5e4512a8e61b5389