Cortez 1,221 Опубликовано 7 мая, 2022 Специалисты ИБ-компании Trend Micro рассказали о недавно обнаруженной новой APT-группировке, которую они назвали Earth Berberoka (GamblingPuppet). Группировка специализируется на взломах online-казино в Юго-Восточной Азии. Кроме того, хакеры атакуют Windows, Linux и macOS-системы с помощью вредоносного ПО, которое обычно связывается с Китаем. В арсенал Earth Berberoka входят как хорошо проверенные надежные инструменты PlugX и Gh0st RAT, так и совершенно новое семейство вредоносного ПО, названное исследователями PuppetLoader. PuppetLoader представляет собой сложное, пятиступенчатое ПО, использующее весьма интересные техники, такие как перехват загружаемых модулей для запуска вредоносного кода и сокрытие вредоносной нагрузки и модулей в модифицированных BMP-файлах. PuppetLoader обладает следующим функционалом: установка интерактивной оболочки, загрузка файлов на систему, скачивание файлов с системы, завершение процессов, составление списка процессов, установка модулей, обратный вызов учетных данных и перечисление сеансов RDP. В ходе исследования специалисты Trend Micro также обнаружили версии вредоносного ПО oRAT для Windows и macOS. Примечательно, что вредонос написан на языке программирования Go. Как уже упоминалось выше, Earth Berberoka также использует хорошо известный троян для удаленного доступа PlugX, использующийся для кибершпионажа уже более десяти лет, и как минимум три разные версии не менее старого вредоносного ПО Gh0st RAT, исходный код которого есть в открытом доступе. Одна из версий Gh0st RAT оснащена интересной деструктивной функцией: заменяет главную загрузочную запись сообщением «I am virus ! F*ck you ». Кроме того, Earth Berberoka использует следующие известные вредоносные программы: Quasar RAT – троян для удаленного доступа для Windows с открытым исходным кодом; AsyncRAT – троян для удаленного доступа с открытым исходным кодом, позволяющий удаленно мониторить и контролировать устройства через зашифрованное соединение; Trochilus – незаметный троян для удаленного доступа, способный обходить песочницу, предназначенный для шпионских операций. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
