Переполох в Гайане: правительственное учреждение стало целью шпионской операции

В феврале 2023 года исследователи ESET обнаружили атаку методом целевого фишинга, которая привела к развёртыванию ранее неизвестного бэкдора на C++ с названием DinodasRAT.

Данная операция по кибершпионажу получила название «Жакана» и была направлена на одно из правительственных учреждений Гайаны, небольшого государства в Южной Америке, граничащего с Венесуэлой.

Словацкая компания полагает, что за выявленной атакой стоит APT-группировка китайского происхождения. Такие выводы были сделаны в основном из-за использования хакерами трояна PlugX (он же Korplug), который обычно используют именно китайские киберпреступники.

В развёрнутом отчёте ESET отмечает: «Эта кампания была целенаправленной, поскольку злоумышленники создавали свои электронные письма специально для привлечения выбранной ими организации-жертвы».

Цепочка атаки стартует с фишингового письма на целевой адрес. Темы писем в рамках вредоносной рассылки были разные, но так или иначе касались Гайаны. Одно из таких писем сообщало о неком «гайанском беглеце во Вьетнаме». Ссылка внутри этого фишингового письма вела на легитимный домен «fta.moit.gov[.]vn», что указывает на компрометацию вьетнамского правительственного сайта.

При переходе по ссылке на компьютер потенциальной жертвы скачивается ZIP-архив, содержащий исполняемый EXE-файл, замаскированный под документ Microsoft Word. Запуск этого «документа» приводит к заражению компьютера DinodasRAT и дальнейшей компрометации целевой сети.

Полная цепочка атаки «операции Жакана»

Кроме шифрования передаваемой информации с использованием Tiny Encryption Algorithm (TEA), DinodasRAT обладает способностью извлекать метаданные системы, файлы, манипулировать ключами реестра Windows и выполнять удалённые команды.

В рассмотренной кампании хакерами были развёрнуты инструменты для бокового перемещения в сети жертвы, включая вышеупомянутый Korplug, а также клиент SoftEther VPN. Последний, кстати, тоже использовался одной из хакерских групп, ассоциированных с Китаем. Microsoft отслеживает этих преступников под псевдонимом Flax Typhoon.

Исследователь из ESET Фернандо Тавелла заявил: «Основываясь на фишинговых электронных письмах, использованных для получения первоначального доступа к сети жертвы, можно смело заявить, что хакеры отслеживают геополитическую деятельность своих жертв, чтобы повысить вероятность успеха операции».

Как показывает эта атака, даже небольшие страны, вроде Гайаны, могут стать мишенью для изощренных кибершпионских операций со стороны иностранных держав. Чтобы защитить себя от подобных атак, необходимо инвестировать в надёжные системы кибербезопасности и обучение персонала.