Операция Jacana - это целенаправленная кибершпионская кампания, направленная против государственной организации из Гайаны.
- После первоначальной компрометации злоумышленники начали продвигаться по внутренней сети жертвы.
- Для извлечения конфиденциальных данных злоумышленники использовали ранее не документированный бэкдор, который ESET назвали DinodasRAT.
- DinodasRAT шифрует информацию, отправляемую на C&C, с помощью алгоритма Tiny Encryption Algorithm (TEA).
- Помимо DinodasRAT, злоумышленники также использовали Korplug, что позволяет предположить, что за этой операцией стоят операторы, поддерживающие Китай.
Содержание
Indicators of Compromise
IPv4
- 115.126.98.204
- 118.99.6.202
- 199.231.211.19
- 23.106.122.46
- 23.106.122.5
- 23.106.123.166
- 42.119.111.97
Domains
- fta.moit.gov.vn
- update.microsoft-setting.com
SHA1
- 33065850b30a7c797a9f1e5b219388c6991674db
- 599ea9b26581ebc7b4bdfc02e6c792b6588b751e
- 9a6e803a28d27462d2df47b52e34120fb2cf814b
- efd1387bb272ffe75ec9bf5c1dd614356b6d40b5
ESET
