Một nhóm mối đe dọa dai dẳng tiên tiến (APT) có tên mã là DiceyF có liên quan đến một loạt các cuộc tấn công nhằm vào các sòng bạc trực tuyến ở Đông Nam Á trong nhiều năm.
Công ty an ninh mạng Kaspersky của Nga cho biết hoạt động này phù hợp với một loạt các cuộc xâm nhập khác được cho là của Earth Berberoka (hay còn gọi là GamblingPuppet) và DRBControl, trích dẫn các điểm tương đồng về chiến thuật và nhắm mục tiêu cũng như lạm dụng các ứng dụng nhắn tin an toàn.
"Có thể chúng ta có sự pha trộn giữa gián điệp và trộm cắp [sở hữu trí tuệ], nhưng động cơ thực sự vẫn còn là một bí ẩn," các nhà nghiên cứu Kurt Baumgartner và Georgy Kucherin cho biết trong một bài viết kỹ thuật được công bố trong tuần này.
Điểm khởi đầu của cuộc điều tra là vào tháng 11 năm 2021 khi Kaspersky cho biết họ đã phát hiện nhiều trình tải PlugX và các tải trọng khác được triển khai thông qua dịch vụ giám sát nhân viên và dịch vụ triển khai gói bảo mật.
Phương pháp lây nhiễm ban đầu - phân phối khuôn khổ thông qua các gói giải pháp bảo mật - đã tạo điều kiện cho tác nhân đe dọa "thực hiện các hoạt động tấn công mạng với một số mức độ lén lút", công ty tuyên bố.
Sau đó, dịch vụ triển khai gói bảo mật tương tự được cho là đã được sử dụng để cung cấp cái được gọi là GamePlayerFramework, một biến thể C # của phần mềm độc hại dựa trên C ++ được gọi là PuppetLoader.
"'Khung' này bao gồm trình tải xuống, trình khởi chạy và một bộ plugin cung cấp quyền truy cập từ xa và đánh cắp dữ liệu tổ hợp phím và khay nhớ tạm," các nhà nghiên cứu giải thích.
Các dấu hiệu cho thấy hoạt động của DiceyF là một chiến dịch tiếp theo của Earth Berberoka với bộ công cụ phần mềm độc hại được trang bị lại, ngay cả khi khuôn khổ được duy trì thông qua hai nhánh riêng biệt có tên là Tifa và Yuna, đi kèm với các mô-đun khác nhau với các mức độ tinh vi khác nhau.
Trong khi nhánh Tifa chứa một trình tải xuống và một thành phần cốt lõi, Yuna phức tạp hơn về chức năng, kết hợp trình tải xuống, một bộ plugin và ít nhất 12 mô-đun PuppetLoader. Điều đó nói rằng, cả hai chi nhánh được cho là được cập nhật tích cực và tăng dần.
Bất kể biến thể được sử dụng là gì, GamePlayerFramework, sau khi được khởi chạy, sẽ kết nối với lệnh và điều khiển (C2) và truyền thông tin về máy chủ bị xâm nhập và nội dung bảng tạm, sau đó C2 phản hồi bằng một trong 15 lệnh cho phép phần mềm độc hại nắm quyền kiểm soát máy.
Điều này cũng bao gồm việc khởi chạy một plugin trên hệ thống nạn nhân có thể được tải xuống từ máy chủ C2 khi khung được khởi tạo hoặc truy xuất bằng lệnh "InstallPlugin" do máy chủ gửi.
Đổi lại, các plugin này giúp bạn có thể đánh cắp cookie từ trình duyệt Google Chrome và Mozilla Firefox, thu thập dữ liệu tổ hợp phím và khay nhớ tạm, thiết lập các phiên máy tính để bàn ảo và thậm chí kết nối từ xa với máy qua SSH.
Kaspersky cũng chỉ ra việc sử dụng một ứng dụng độc hại bắt chước một phần mềm khác có tên Mango Employee Account Data Synchronizer, một ứng dụng nhắn tin được sử dụng tại các thực thể được nhắm mục tiêu, để thả GamePlayerFramework trong mạng.
"Có nhiều đặc điểm thú vị của các chiến dịch DiceyF và TTP", các nhà nghiên cứu cho biết. "Nhóm sửa đổi cơ sở mã của họ theo thời gian và phát triển chức năng trong mã trong suốt quá trình xâm nhập của họ."
"Để đảm bảo rằng các nạn nhân không trở nên nghi ngờ về các thiết bị cấy ghép ngụy trang, những kẻ tấn công đã thu thập thông tin về các tổ chức bị nhắm mục tiêu (chẳng hạn như tầng nơi đặt bộ phận CNTT của tổ chức) và đưa nó vào bên trong các cửa sổ đồ họa được hiển thị cho nạn nhân."