DragonOK APT замечена в атаках на правительственные организации Камбоджи

Эксперты по безопасности из компании Palo Alto Networks опубликовали отчет о деятельности хакерской группировки DragonOk.

Эксперты по безопасности из компании Palo Alto Networks раскрыли подробности новой хакерскойкампании, использующейтроян удаленного доступа KHRAT (RAT). Группа DragonOk (также известная как NetTraveler (TravNet), PlugX, Saker, Netbot, DarkStRat и ZeroT i) была впервые обнаружена в сентябре 2014 года исследователями по безопасности из FireEye. В то время FireEyeописала две хакерские кампании. Атаки осуществлялись отдельными группами, работающими параллельно вразличных регионах Китая.

Первая группировка под названием Moafee атаковалавоенные и правительственные организации, вовлеченные в спор оЮжно-Китайском море. Как объяснили исследователи из FireEye, взломщикивзламывали разные организации и, похоже, работали в провинции Гуандун. Группа атаковала объекты, работающие всфере оборонной промышленности в Соединенных Штатах. Вторая команда, получившая название DragonOK, провела ряд атак, нацеленных на корпоративный сегмент в Японии и на Тайвани.

Вначале этого годаDragonOK атаковала японские организации в нескольких отраслях промышленности, включая производство, технологию, энергетику, высшее образование и полупроводники.

Недавняя кампания DragonOK сиспользованием KHRAT RAT нацелена на жертв, находящихся в Камбодже. KHRAT RAT представляет типичный набор функций RAT, включая удаленный доступ к системе жертвы.

Ниже приведены основные выводы, представленные исследователями Palo Alto, относительно деятельности DragonOK:

– Обновлены техники целенаправленного фишинга;

– Несколько методов для загрузки и выполнения дополнительных функциональных частей вируса с использованием встроенных приложений Windows;

– Расширена инфраструктура, имитирующая название известной службы хостинга файлов, Dropbox;

-Скомпрометированные камбоджийские правительственные серверы.

Хакеры из DragonOK использовали вредоносные файлы, содержащие в названии аббревиатуру «MIWRMP» (многомилионный проект по интегрированному управлению водными ресурсами реки Меконг) и сопроводительный текст внутри документа. Документ вынуждает жертву обманом включить макросы для запуска вредоносного JavaScript-кода. Исходя из названия документа и сайта, через который распространялся вредонос, можно предположить, что атака была нацелена на правительственные организации Камбоджи.

В ходе атак хакеры использовали доменное имя update.upload-dropbox [.] сom, размещенное на скомпроментированом web-сайте правительства Камбоджи. Образец, обнаруженный на скомпроментированном сервере, использовал приложенее regsvr32.exe для обходасуществующих средствзащиты Windows.

Исследователи также заметили, что злоумишленникииспользовалиJavaScript-код для отслеживания посетителей скомпроментированого сайта и собирали такие данные о пользователях, как отпечаток браузера, файлы cookie, реферер и версию Flash Player.

Исследователи пришли к выводу, что APT DragonOK существенно обновили свои ПО, тактику, методы и процедурыв последние месяцы. Вероятно, это связано с планами усилить свою деятельность в блежайшее время.