В арсенал Earth Berberoka входят как хорошо проверенные инструменты, так и совершенно новое семейство вредоносного ПО.

Специалисты ИБ-компании Trend Micro рассказали о недавно обнаруженной новой APT-группировке, которую они назвали Earth Berberoka (GamblingPuppet). Группировка специализируется на взломах online-казино в Юго-Восточной Азии. Кроме того, хакеры атакуют Windows, Linux и macOS-системы с помощью вредоносного ПО, которое обычно связывается с Китаем.

В арсенал Earth Berberoka входят как хорошо проверенные надежные инструменты PlugX и Gh0st RAT, так и совершенно новое семейство вредоносного ПО, названное исследователями PuppetLoader.

PuppetLoader представляет собой сложное, пятиступенчатое ПО, использующее весьма интересные техники, такие как перехват загружаемых модулей для запуска вредоносного кода и сокрытие вредоносной нагрузки и модулей в модифицированных BMP-файлах.

PuppetLoader обладает следующим функционалом: установка интерактивной оболочки, загрузка файлов на систему, скачивание файлов с системы, завершение процессов, составление списка процессов, установка модулей, обратный вызов учетных данных и перечисление сеансов RDP.

В ходе исследования специалисты Trend Micro также обнаружили версии вредоносного ПО oRAT для Windows и macOS. Примечательно, что вредонос написан на языке программирования Go.

Как уже упоминалось выше, Earth Berberoka также использует хорошо известный троян для удаленного доступа PlugX, использующийся для кибершпионажа уже более десяти лет, и как минимум три разные версии не менее старого вредоносного ПО Gh0st RAT, исходный код которого есть в открытом доступе.

Одна из версий Gh0st RAT оснащена интересной деструктивной функцией: заменяет главную загрузочную запись сообщением «I am virus ! F*ck you :-)».

Кроме того, Earth Berberoka использует следующие известные вредоносные программы:

Quasar RAT – троян для удаленного доступа для Windows с открытым исходным кодом;

AsyncRAT – троян для удаленного доступа с открытым исходным кодом, позволяющий удаленно мониторить и контролировать устройства через зашифрованное соединение;

Trochilus – незаметный троян для удаленного доступа, способный обходить песочницу, предназначенный для шпионских операций.

Источник: securitylab