Эксперты компаний Trend Micro и Talent-Jump обратили внимание, что с лета 2019 года китайские хакеры атакуют сайты для азартных игр и онлайн-ставок в Юго-Восточной Азии. Неподтвержденные слухи о взломах также поступали из стран Европы и Ближнего Востока.
По данным исследователей, за обнаруженными инцидентами стоит группировка DRBControl. Хакеры похищают БД компаний и исходные коды, но не деньги, то есть главной целью этих атак, судя по всему, является шпионаж.
Тактика DRBControl во многом схожа с инструментами и методами, которые используют другие правительственные хак-группы из Поднебесной: Winnti и Emissary Panda. Впрочем, в настоящее время невозможно судить, действует DRBControl самостоятельно или же по приказу властей. Так, в прошлом году эксперты FireEye писали о том, что некоторые китайские группировки, в свободное от работы время, проводят атаки ради собственный выгоды.
В целом атаки DRBControl не являются ни сложными, ни уникальными. Они начинаются с фишинговых писем, направленных будущим жертвам. Через такие послания сотрудники целевых компаний получают вредоносные документы, а затем и бэкдор-трояны. В работе такая малварь полагается на Dropbox, который используется как управляющий сервер, а также для хранения полезных нагрузок и украденных данных. Отсюда и происходит название группировки — DRBControl (DRopBox Control).
Затем бэкдоры, размещенные в сетях пострадавших компаний, применяются для загрузки других хакерских инструментов и малвари, которые уже используются для бокового перемещения по сети, в поисках ценной информации, которую можно похитить. Так, среди используемых DRBControl инструментов были замечены:
- инструменты для сканирования серверов NETBIOS;
- инструменты для брутфорс атак;
- инструменты для обхода Windows UAC;
- инструменты для повышения привилегий на зараженном хосте;
- инструменты для хищения паролей с зараженных хостов;
- инструменты для кражи данных из буфера обмена;
- инструменты для загрузки и выполнения вредоносного кода на зараженных хостах;
- инструменты для получения публичного IP-адреса рабочей станции;
- инструменты для создания туннелей к внешним сетям.
Исследователи из Talent-Jump пишут, что пристально наблюдали за деятельностью группы в период с июля по сентябрь 2019 года. За это время хакеры успели заразить около 200 компьютеров, используя одну учетную запись Dropbox, и еще около 80 машин были скомпрометированы через другой аккаунт Dropbox.
Так как атаки DRBControl продолжаются по сей день, специалисты обеих компаний включили в свои отчеты индикаторы компрометации (1 , 2), на которые администраторам советуют обратить внимание.