Хакерская группа Golden Eye Dog атакует игорный бизнес и рынок продажи собак
Эксперты по кибербезопасности выявили активность хакерской группы Golden Eye Dog, известной также как APT-Q-27, которая нацелилась на сегменты игорного бизнеса и рынка продажи собак. Согласно отчету, данная группа применяет широкий спектр методов атак, включая дистанционное управление, майнинг криптовалют и распределённые атаки типа «отказ в обслуживании» (DDoS).
Методы и технологии атак
Группа Golden Eye Dog демонстрирует высокий уровень технической подготовки, используя сложные техники для внедрения вредоносного ПО и обхода систем защиты:
- Методы «водопоя» (watering hole) для заражения пользовательских систем через доверенные ресурсы.
- Внедрение троянских программ с помощью вредоносных установочных пакетов, например, маскировка под легитимное ПО Todesk с последующей инсталляцией трояна Winos4.0.
- Использование исполняемых файлов объёмом более 30 МБ, преимущественно написанных на C++, с сетевыми функциями и выполнением команд PowerShell.
Архитектура вредоносного ПО и особенности реализации
Вредоносный код этой группы разработан с применением нескольких языков программирования: .NET, C++, Go и Delphi. Такой мультидисциплинарный подход указывает на глубокое понимание разработки и современных методов обхода систем обнаружения.
Ключевым элементом вредоносного ПО является конфигурационный файл Config.ini, который функционирует в роли шелл-кода и загружает переносимый исполняемый файл (PE), взаимодействующий с DLL-библиотекой VFPower. Последняя отвечает за создание мьютекса с уникальным именем zhuxianlu — эта практика предотвращает повторное заражение одной и той же системы.
Кроме того, важную роль в инфраструктуре вредоносного ПО занимает исполняемый файл Insttect.exe, который загружает файл Single.ini для облегчения исполнения шеллкода и вызова функций VFPower. Для усложнения обратного инжиниринга применяется обфускация с помощью OLLVM, что значительно затрудняет анализ и обнаружение.
Коммуникации с сервером управления
Группа устанавливает связь с сервером управления (Command and Control, C2) по IP-адресу 120.89.71.226 с использованием нескольких портов: 8852, 9090, 18852 и 18853. Также применяются доменные имена для повышения устойчивости и маскировки инфраструктуры.
Особенности поведения вредоносного ПО
- Добавление диска C: в исключения антивирусного ПО — стратегия, характерная для троянских семейств семейства Silver Fox, которая обеспечивает устойчивость к детектированию.
- Функционал бэкдора позволяет не только загружать дополнительные модули вредоносных программ, но и поддерживать непрерывную связь с сервером C2.
- Сбор и передача данных о системе заражённого устройства, что расширяет возможности для дальнейших атак и более точного управления скомпрометированными активами.
Итоги и выводы
Активность хакерской группы Golden Eye Dog демонстрирует высокий уровень технической компетенции и разносторонний подход к организации своих атак. Использование сложных техник обфускации, мультиъязыковой разработки вредоносных модулей, а также многоуровневого механизма коммуникации и защиты от обнаружения подчеркивает серьёзность угрозы, направленной на специфические отрасли — игорный бизнес и сегмент продажи собак.
Специалистам в области кибербезопасности и представителям целевых секторов рекомендовано усилить мониторинг сетевой активности, использовать современные средства обнаружения целевых атак и уделять особое внимание методам защиты, описанным в данном отчёте.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "APT-Q-27 Golden Eye Dog атакует игорный и собачий бизнес".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.