找回密码
 立即注册
IS公司
德信
通宝
USDT娱乐城
A
申博亚洲
优赢国际
银行
金沙
B
腾博会
入驻海燕
C级广告商
查看: 4502|回复: 17

[打法交流] 黑客在漫长的网络间谍活动中瞄准了亚洲赌场

[复制链接]

2097

主题

6056

回帖

1万

金币

版主

积分
36840

老会员版主勋章超级精华美女勋章优秀版主

发表于 2023-10-6 11:00 | 显示全部楼层 |阅读模式

QQ截图20231006105312.jpg


至少从2021年11月开始,一个名为 “DiceyF “的黑客组织被观察到对设在东南亚的在线赌场部署了一个恶意攻击框架。


根据卡巴斯基的一份新报告,DiceyF APT组织似乎并不以赌场的财务收益为目标,而是进行隐蔽的网络间谍和知识产权盗窃。


DiceyF的活动与趋势科技在2022年3月报告的 “Operation Earth Berberoka “相一致,都指向威胁者是来自中国的。


巴西逮捕了与Lapsus$黑客组织有关的嫌犯


以赌场为目标


APT使用的攻击框架名为 “GamePlayerFramework”,是C++恶意软件 “PuppetLoader “的C#重写。


该框架具有有效载荷下载器、恶意软件启动器、插件、远程访问模块、键盘记录器、剪贴板窃取器等。


卡巴斯基最近采样的可执行文件是64位.NET文件,但也有32位可执行文件和DLL在流通。


该框架有两个分支,即 “Tifa “和 “Yuna”,它们是单独开发的,具有不同的复杂程度。”Yuna “是这两个中更复杂的,后来也在野外观察到。


框架加载到目标机器上后,它连接到C2服务器,每20秒发送一次XOR加密的心跳数据包,包含受害者的用户名、用户会话状态、收集的日志大小以及当前日期和时间。


C2可以用一组15个命令来回应,这些命令可能命令框架收集额外的数据,执行 “cmd.exe “的命令,更新C2的配置,并下载一个新的插件。


任何从C2下载的插件都会直接加载到框架中而不接触磁盘,以尽量减少被发现的可能性。


它们的功能包括从Chrome或Firefox窃取cookie,抢夺剪贴板内容,建立虚拟桌面会话,抓取屏幕截图,执行端口转发,等等。


伪造的Mango应用程序


卡巴斯基还发现,DiceyF正在使用一个模仿Mango员工数据同步器的GUI应用程序,在组织的网络内投放Yuna下载器。


假的芒果应用作为安全应用的安装程序到达赌场公司的员工,很可能是威胁者通过钓鱼邮件发送的。


假的应用程序使用社会工程战术,如显示目标组织的IT部门所在的楼层,让受害者产生合法的错觉。


该应用程序连接到与GamePlayerFramework相同的C2基础设施,并渗出操作系统、系统、网络数据和芒果信使数据。


“代码处于持续的增量变化之下,其版本划分反映了对代码库修改的半专业管理,”卡巴斯基解释说。


“随着时间的推移,该小组增加了Newtonsoft JSON库的支持,增强了日志记录,并对日志进行了加密”。


卡巴斯基评论说,使用可见的窗口并不意味着它只适合欺骗员工,也有利于对付AV,因为AV一般对待基于GUI的工具的怀疑程度较低。


为了使该工具对安全工具更加隐蔽,威胁者用偷来的有效数字证书对其进行了签名,这个证书也是用于框架的。


总之,DiceyF已经表现出优秀的技术能力,可以根据每个受害者的古怪情况调整其工具,随着入侵的进展,逐渐转变其代码库。


虽然这些攻击不像实际的供应链破坏那样复杂或有效,但它们仍然很难被发现和阻止,特别是当它们针对一个组织中的多名员工时。


赌场在网络安全方面需要不遗余力,采取措施避免带来更多的损失。

回复

使用道具 举报

1638

主题

1万

回帖

1万

金币

版主

积分
56414

优秀版主老会员版主勋章超级精华

发表于 2023-10-6 11:24 | 显示全部楼层
他们可谓无孔不入,有利润的空间就去钻的
回复 支持 反对

使用道具 举报

303

主题

2267

回帖

8469

金币

金牌会员

积分
21448
发表于 2023-10-6 11:33 | 显示全部楼层
可能是觉得亚洲水平差,想弄死亚洲的。结果还是撞铁板上了
回复 支持 反对

使用道具 举报

2097

主题

6056

回帖

1万

金币

版主

积分
36840

老会员版主勋章超级精华美女勋章优秀版主

 楼主| 发表于 2023-10-6 11:53 | 显示全部楼层
落叶归根 发表于 2023-10-06 11:53:18/ P' p+ \+ h9 F, t' U 他们可谓无孔不入,有利润的空间就去钻的
$ K0 a9 r: D6 L ! u9 A4 m/ G) f) Q! { 大多数的黑客都是因为利益去攻击赌场。
回复 支持 反对

使用道具 举报

2097

主题

6056

回帖

1万

金币

版主

积分
36840

老会员版主勋章超级精华美女勋章优秀版主

 楼主| 发表于 2023-10-6 11:56 | 显示全部楼层
周星驰 发表于 2023-10-06 11:56:19/ `2 o3 @- M, p% g& x 可能是觉得亚洲水平差,想弄死亚洲的。结果还是撞铁板上了
9 H+ b1 W0 B. [: o8 s P & p2 t5 _* Y7 M3 l4 ` 如果真是这样的原因,他们这次是看错了亚洲赌场。
回复 支持 反对

使用道具 举报

197

主题

4924

回帖

6259

金币

金牌会员

积分
20412

老会员交易勋章

发表于 2023-10-6 12:20 | 显示全部楼层
我不是IT大佬,很多地方看不懂啊,得再看一遍
回复 支持 反对

使用道具 举报

128

主题

1279

回帖

4380

金币

银牌会员

积分
11027
发表于 2023-10-6 14:52 | 显示全部楼层
亚洲赌场也不弱的,出得起高薪自然有人庇护
回复 支持 反对

使用道具 举报

1

主题

1286

回帖

2333

金币

铜牌用户

积分
6909

老会员

发表于 2023-10-6 14:53 | 显示全部楼层

这DiceyF黑客真是狡猾,一个一个的渗透进去,还改进代码让防火墙捉襟见肘。

回复 支持 反对

使用道具 举报

2

主题

1806

回帖

1144

金币

铜牌用户

积分
5210

老会员

发表于 2023-10-6 15:41 | 显示全部楼层

他们动机肯定不纯,非法获取别人隐私数据,这种行为还是不应该支持。

回复 支持 反对

使用道具 举报

0

主题

422

回帖

939

金币

高级用户

积分
2385
发表于 2023-10-6 16:06 | 显示全部楼层

卡巴斯基能帮助揭露他们的计谋,给其他可能受害公司提个醒,也算是为社会做了一点贡献。

回复 支持 反对

使用道具 举报

1

主题

1081

回帖

420

金币

高级用户

积分
2278
发表于 2023-10-6 16:15 | 显示全部楼层

这些赌场公司网安工作也该下更大力气

不仅更新防火墙,也要加强员工安全教育,免得再上当受骗。

回复 支持 反对

使用道具 举报

2097

主题

6056

回帖

1万

金币

版主

积分
36840

老会员版主勋章超级精华美女勋章优秀版主

 楼主| 发表于 2023-10-6 16:26 | 显示全部楼层
去玩儿 发表于 2023-10-06 16:26:41 7 G! h9 O, g' e: I+ f; K/ L! Y亚洲赌场也不弱的,出得起高薪自然有人庇护
r4 |, o8 `' ^8 I9 B+ q + N8 M. j+ Z% f) }; h. o6 [ 所以他们的计划就没有完全成功,还给赌场的防御升级了一次。
回复 支持 反对

使用道具 举报

2097

主题

6056

回帖

1万

金币

版主

积分
36840

老会员版主勋章超级精华美女勋章优秀版主

 楼主| 发表于 2023-10-6 16:28 | 显示全部楼层
雨落梧 发表于 2023-10-06 16:28:08 3 |, o. @% \) H* D

这DiceyF黑客真是狡猾,一个一个的渗透进去,还改进代码让防火墙捉襟见肘。

# `, E: K. p+ v0 s" R+ Q" V: E 这不是一般的黑客,为了达到目的制造混乱可还是没成功。
回复 支持 反对

使用道具 举报

2097

主题

6056

回帖

1万

金币

版主

积分
36840

老会员版主勋章超级精华美女勋章优秀版主

 楼主| 发表于 2023-10-6 16:29 | 显示全部楼层
旅行家 发表于 2023-10-06 16:29:37 % z) |4 Z% C0 f' ~

他们动机肯定不纯,非法获取别人隐私数据,这种行为还是不应该支持。

$ Z+ p3 r; m/ I" o+ }. V1 g5 `, ?2 R7 ^ 窃取他人信息的行为当然不能允许的。
回复 支持 反对

使用道具 举报

2097

主题

6056

回帖

1万

金币

版主

积分
36840

老会员版主勋章超级精华美女勋章优秀版主

 楼主| 发表于 2023-10-6 16:31 | 显示全部楼层
心如止水 发表于 2023-10-06 16:31:21 ; q; J" P0 b; S3 s& C0 F5 O

卡巴斯基能帮助揭露他们的计谋,给其他可能受害公司提个醒,也算是为社会做了一点贡献。

+ U) r$ P: d7 `1 Z( V) w2 q, t 8 u$ l' B# w: }$ H, d, q( R* v3 n 网络安全防范需要大家来共同维护,这关系到每个人。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|海燕策略论坛

快速回复 返回顶部 返回列表