APT-Q-27 Golden Eye Dog атакует игорный и собачий бизнес

Хакерская группа Golden Eye Dog атакует игорный бизнес и рынок продажи собак

Эксперты по кибербезопасности выявили активность хакерской группы Golden Eye Dog, известной также как APT-Q-27, которая нацелилась на сегменты игорного бизнеса и рынка продажи собак. Согласно отчету, данная группа применяет широкий спектр методов атак, включая дистанционное управление, майнинг криптовалют и распределённые атаки типа «отказ в обслуживании» (DDoS).

Методы и технологии атак

Группа Golden Eye Dog демонстрирует высокий уровень технической подготовки, используя сложные техники для внедрения вредоносного ПО и обхода систем защиты:

• Методы «водопоя» (watering hole) для заражения пользовательских систем через доверенные ресурсы.
• Внедрение троянских программ с помощью вредоносных установочных пакетов, например, маскировка под легитимное ПО Todesk с последующей инсталляцией трояна Winos4.0.
• Использование исполняемых файлов объёмом более 30 МБ, преимущественно написанных на C++, с сетевыми функциями и выполнением команд PowerShell.

Архитектура вредоносного ПО и особенности реализации

Вредоносный код этой группы разработан с применением нескольких языков программирования: .NET, C++, Go и Delphi. Такой мультидисциплинарный подход указывает на глубокое понимание разработки и современных методов обхода систем обнаружения.

Ключевым элементом вредоносного ПО является конфигурационный файл Config.ini, который функционирует в роли шелл-кода и загружает переносимый исполняемый файл (PE), взаимодействующий с DLL-библиотекой VFPower. Последняя отвечает за создание мьютекса с уникальным именем zhuxianlu — эта практика предотвращает повторное заражение одной и той же системы.

Кроме того, важную роль в инфраструктуре вредоносного ПО занимает исполняемый файл Insttect.exe, который загружает файл Single.ini для облегчения исполнения шеллкода и вызова функций VFPower. Для усложнения обратного инжиниринга применяется обфускация с помощью OLLVM, что значительно затрудняет анализ и обнаружение.

Коммуникации с сервером управления

Группа устанавливает связь с сервером управления (Command and Control, C2) по IP-адресу 120.89.71.226 с использованием нескольких портов: 8852, 9090, 18852 и 18853. Также применяются доменные имена для повышения устойчивости и маскировки инфраструктуры.

Особенности поведения вредоносного ПО

• Добавление диска C: в исключения антивирусного ПО — стратегия, характерная для троянских семейств семейства Silver Fox, которая обеспечивает устойчивость к детектированию.
• Функционал бэкдора позволяет не только загружать дополнительные модули вредоносных программ, но и поддерживать непрерывную связь с сервером C2.
• Сбор и передача данных о системе заражённого устройства, что расширяет возможности для дальнейших атак и более точного управления скомпрометированными активами.

Итоги и выводы

Активность хакерской группы Golden Eye Dog демонстрирует высокий уровень технической компетенции и разносторонний подход к организации своих атак. Использование сложных техник обфускации, мультиъязыковой разработки вредоносных модулей, а также многоуровневого механизма коммуникации и защиты от обнаружения подчеркивает серьёзность угрозы, направленной на специфические отрасли — игорный бизнес и сегмент продажи собак.

Специалистам в области кибербезопасности и представителям целевых секторов рекомендовано усилить мониторинг сетевой активности, использовать современные средства обнаружения целевых атак и уделять особое внимание методам защиты, описанным в данном отчёте.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.