Tibetská komunita se stala cílem kyberšpionážní skupiny napojené na Čínu v rámci dvou kampaní, které proběhly minulý měsíc před dalajlamovými 90. narozeninami.

Vícestupňové útoky byly společností Zscaler ThreatLabz označeny kódovým názvem Operace GhostChat a Operace PhantomPrayers.

„Útočníci napadli legitimní webové stránky, přesměrovali uživatele prostřednictvím škodlivého odkazu a nakonec do systémů obětí nainstalovali buď Gh0st RAT, nebo PhantomNet (alias SManager) backdoor,“ uvedli ve středeční zprávě bezpečnostní výzkumníci Sudeep Singh a Roy Tay.

Není to poprvé, co se čínští aktéři hrozeb uchýlili k útokům typu watering hole (tzv. strategické webové kompromitace), což je technika, při níž protivníci pronikají na webové stránky často navštěvované určitou skupinou, aby infikovali jejich zařízení malwarem.

V posledních dvou letech se k tomuto postupu uchýlily hackerské skupiny jako EvilBamboo, Evasive Panda a TAG-112, které se zaměřily na tibetskou diasporu s konečným cílem získat citlivé informace.

Nejnovější sada útoků zaznamenaná společností Zscaler zahrnuje kompromitaci webové stránky s cílem nahradit odkaz směřující na „tibetfund[.]org/90thbirthday“ podvodnou verzí („thedalailama90.niccenter[.]net“).

Zatímco původní webová stránka je určena k odeslání zprávy dalajlamovi, replika stránky přidává možnost odeslat duchovnímu vůdci šifrovanou zprávu stažením z adresy „tbelement.niccenter[.]net“ zabezpečené chatovací aplikace s názvem TElement, která se vydává za tibetskou verzi aplikace Element.

Na webové stránce je umístěna backdoorová verze open-source šifrovaného chatovacího softwaru obsahující škodlivou knihovnu DLL, která je sideloaded a spouští Gh0st RAT, trojského koně pro vzdálený přístup hojně využívaného různými čínskými hackerskými skupinami. Webová stránka také obsahuje kód JavaScriptu určený ke shromažďování IP adresy návštěvníka a informací o uživatelském agentovi a k exfiltraci těchto údajů aktérovi hrozby prostřednictvím požadavku HTTP POST.

Gh0st RAT je plně vybavený malware, který podporuje manipulaci se soubory, snímání obrazovky, extrakci obsahu schránky, nahrávání videa z webové kamery, keylogging, nahrávání a přehrávání zvuku, manipulaci s procesy a vzdálený shell.

Bylo zjištěno, že druhá kampaň, Operace PhantomPrayers, využívá další doménu „hhthedalailama90.niccenter[.]net“ k distribuci falešné aplikace „90. narozeniny Global Check-in“ („DalaiLamaCheckin.exe“, přezdívaná PhantomPrayers), která po otevření zobrazí interaktivní mapu a vyzývá oběti, aby „poslaly své požehnání“ dalajlámovi klepnutím na svou polohu na mapě.

Škodlivá funkce je však skrytě spuštěna na pozadí pomocí technik bočního načítání knihoven DLL ke spuštění PhantomNet, zadních vrátek, která naváží kontakt se serverem C2 (command-and-control) přes TCP, aby získala další zásuvné knihovny DLL ke spuštění na napadeném počítači.

„PhantomNet lze nastavit tak, aby fungoval pouze v určitých hodinách nebo dnech, ale tato možnost není v aktuálním vzorku povolena,“ uvedli výzkumníci. „PhantomNet používal modulární zásuvné moduly DLL, provoz C2 šifrovaný AES a konfigurovatelné časově omezené operace, aby mohl skrytě spravovat kompromitované systémy.“

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS