Guyana’daki bir devlet kurumuna karşı hedeflenen bir siber casusluk kampanyasında kullanıldıktan sonra “DinodasRAT” adlı yeni bir kötü amaçlı yazılım tehdidi ortaya çıkarıldı.
Araştırmacılar, ESET’in bu Güney Amerika ülkesine özgü su kuşlarından sonra “Jacana Operasyonu” olarak adlandırdığı kampanyanın (isimsiz) Çin devleti destekli siber saldırganlarla bağlantılı olabileceğini belirtti.
Kampanya, Guyana’nın son dönemdeki kamu ve siyasi meselelerine atıfta bulunan hedef odaklı kimlik avı e-postalarıyla başladı. Saldırganlar içeri girdikten sonra dahili ağ boyunca yanlamasına hareket etti; ESET’in Jacana operasyonuyla ilgili Perşembe günü yaptığı analize göre, DinodasRAT daha sonra dosyaları dışarı çıkarmak, Windows kayıt defteri anahtarlarını değiştirmek ve komutları yürütmek için kullanıldı.
Kötü amaçlı yazılım, adını saldırganlara gönderdiği kurban tanımlayıcıların her birinin başındaki “Din” harfinin kullanılmasından ve bu dizenin, küçük hobbit Dinodas Brandybuck’ın adıyla benzerliğinden almıştır. Yüzüklerin Efendisi. Belki konuyla ilgili: DinodasRAT, iletişimlerini ve sızma faaliyetlerini meraklı gözlerden uzak tutmak için Tiny şifreleme algoritmasını kullanıyor.
Çinli bir APT’nin İşi mi?
ESET, kampanyayı ve özel RAT’ı, özellikle saldırının Mustang Panda gibi Çin’e uyumlu siber tehdit gruplarının favori aracı olan Korplug RAT’ı (aka PlugX) kullanmasına dayanarak, orta düzeyde güvenle bir Çin gelişmiş kalıcı tehdidine (APT) atfediyor.
ESET’e göre saldırı, Guyana’nın Çinli şirketleri kapsayan bir kara para aklama soruşturmasında üç kişiyi tutuklaması gibi, Guyana-Çin diplomatik ilişkilerinde yaşanan son aksaklıklara misilleme olarak gerçekleştirilebilir. Bu iddialara yerel Çin büyükelçiliği tarafından itiraz edildi.
İlginç bir şekilde, yemlerden birinde “Vietnam’daki Guyanalı bir kaçak”tan bahsediliyor ve gov.vn ile biten meşru bir alan adından kötü amaçlı yazılım sunuluyor.
ESET araştırmacısı Fernando Tavella raporda şunları söyledi: “Bu alan adı bir Vietnam resmi web sitesini gösteriyor; dolayısıyla operatörlerin bir Vietnam devlet kuruluşunu tehlikeye atabildiğine ve onun altyapısını kötü amaçlı yazılım örneklerini barındırmak için kullanabildiğine inanıyoruz.” Daha sofistike bir oyuncunun işi.