Группа Dragon Breath атакует игорный бизнес Юго-Восточной Азии

Специалисты отмечают, что сфера онлайн-гемблинга стала особенно привлекательной для киберпреступников в период пандемии, когда тысячи игроков перешли в цифровое пространство. По оценкам экспертов, в настоящее время существует около десяти тысяч азартных платформ, ориентированных на азиатский регион, с общим оборотом в сотни миллиардов долларов. Такие финансовые потоки не могли остаться без внимания профессиональных хакерских группировок.

Особенностью операции Dragon Breath стало использование изощренной техники подмены легитимного программного обеспечения. Злоумышленники создавали поддельные установочные пакеты популярных мессенджеров Telegram и Potato, которые распространялись через специализированные каналы и чаты. В процессе установки вредоносный код скрытно интегрировался в систему, используя уязвимости в процедурах инсталляции.

Техника атаки демонстрирует высокий уровень профессионализма. Злоумышленники модифицировали структуры MSI-пакетов, добавляя в реестр специальные ключи для хранения полезной нагрузки. Запуск malicious-кода происходил только при активации ярлыка программы, что значительно затрудняло обнаружение угрозы системами безопасности. При этом использовались легитимные исполняемые файлы с действительными цифровыми подписями, что позволяло обходить стандартные средства защиты.

Специалисты QiAnXin зафиксировали несколько волн атак, в ходе которых группа использовала многоступенчатую архитектуру вредоносного ПО. На начальном этапе загружался зашифрованный payload, который затем расшифровывался и выполнялся в памяти. Финальная стадия атаки включала развертывание модифицированной версии ботнета Ghost, обеспечивающего злоумышленникам полный контроль над зараженной системой.

В ходе расследования были обнаружены новые инструменты группы, написанные на различных языках программирования - Go, C++ и Delphi. Особый интерес представляет бэкдор на Delphi, содержащий более ста различных команд управления. Анализ кода показал, что он был создан на основе модифицированных версий известных троянов Grey Pigeon и XtremeRAT, с добавлением современных функций для сбора конфиденциальной информации.

Эксперты обратили внимание на расширенный функционал вредоносного ПО, включающий возможности кражи данных из криптовалютных кошельков MetaMask. Это свидетельствует о финансовой мотивации атакующих и их стремлении получить прямой доступ к средствам жертв.

На основе многомерного анализа данных специалисты QiAnXin пришли к выводу, что за группой APT-Q-27 стоит более крупное объединение, получившее название Miuuti Group. Эта структура характеризуется высокой технической оснащенностью и возможностью привлекать специалистов различного профиля. Имеются свидетельства, связывающие группу с использованием нескольких zero-day уязвимостей в популярных программах для обмена сообщениями в период с 2015 по 2017 годы.

Специалисты рекомендуют компаниям, работающим в сфере онлайн-гемблинга, усилить меры безопасности, особенно в части проверки целостности устанавливаемого программного обеспечения и мониторинга нестандартного поведения приложений.

Продолжающаяся кампания демонстрирует растущую изощренность киберпреступников, атакующих финансовый сектор, и необходимость постоянного совершенствования систем защиты. Особую озабоченность экспертов вызывает использование легитимных инструментов и процедур для скрытного внедрения вредоносного кода, что требует от специалистов по безопасности более глубокого анализа всех этапов выполнения программ.

IPv4 Port Combinations

• 118.107.47.123:6688
• 154.39.254.183:1446
• 156.245.12.43:6688
• 156.255.211.27:1445
• 209.209.49.241:5780
• 45.207.36.24:6688

Domains

• downtele.xyz

URLs

• http://nsjdhmdjs.com
• http://telegarmzh.com

MD5

• 2269f8f79975b2e924efba680e558046
• 241426a9686ebcb82bf8344511b8a4ca
• 3ec706ccc848ba999f2be30fce6ac9e2
• 508299cdef7a55e8dbbbc17fbc8d6591
• 6bd09914b8e084f72e95a079c2265b77
• b8da59d15775d19cc1f33f985c22e4cb