Новая APT-группа Earth Berberoka атакует online-казино

Новая APT-группа Earth Berberoka атакует online-казино

В арсенал Earth Berberoka входят как хорошо проверенные инструменты, так и совершенно новое семейство вредоносного ПО.

image

Специалисты ИБ-компании Trend Micro рассказали о недавно обнаруженной новой APT-группировке, которую они назвали Earth Berberoka (GamblingPuppet). Группировка специализируется на взломах online-казино в Юго-Восточной Азии. Кроме того, хакеры атакуют Windows, Linux и macOS-системы с помощью вредоносного ПО, которое обычно связывается с Китаем.

В арсенал Earth Berberoka входят как хорошо проверенные надежные инструменты PlugX и Gh0st RAT, так и совершенно новое семейство вредоносного ПО, названное исследователями PuppetLoader.

PuppetLoader представляет собой сложное, пятиступенчатое ПО, использующее весьма интересные техники, такие как перехват загружаемых модулей для запуска вредоносного кода и сокрытие вредоносной нагрузки и модулей в модифицированных BMP-файлах.

PuppetLoader обладает следующим функционалом: установка интерактивной оболочки, загрузка файлов на систему, скачивание файлов с системы, завершение процессов, составление списка процессов, установка модулей, обратный вызов учетных данных и перечисление сеансов RDP.

В ходе исследования специалисты Trend Micro также обнаружили версии вредоносного ПО oRAT для Windows и macOS. Примечательно, что вредонос написан на языке программирования Go.

Как уже упоминалось выше, Earth Berberoka также использует хорошо известный троян для удаленного доступа PlugX, использующийся для кибершпионажа уже более десяти лет, и как минимум три разные версии не менее старого вредоносного ПО Gh0st RAT, исходный код которого есть в открытом доступе.

Одна из версий Gh0st RAT оснащена интересной деструктивной функцией: заменяет главную загрузочную запись сообщением «I am virus ! F*ck you :-)».

Кроме того, Earth Berberoka использует следующие известные вредоносные программы:

Quasar RAT – троян для удаленного доступа для Windows с открытым исходным кодом;

AsyncRAT – троян для удаленного доступа с открытым исходным кодом, позволяющий удаленно мониторить и контролировать устройства через зашифрованное соединение;

Trochilus – незаметный троян для удаленного доступа, способный обходить песочницу, предназначенный для шпионских операций.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!