中国黑客针对在线赌场与Gameplayerframe恶意软件

多年来，一个名为DiceyF的中国起源的高级持续性威胁( APT )群体与一系列针对东南亚在线赌场的袭击联系在一起。

俄罗斯网络安全公司卡巴斯基反病毒软件说，该活动与地球Berberoka ( aka Gamblinguppet )和DRBControl的另一套入侵行为一致，列举了战术和目标相似以及滥用安全消息传递客户。

研究人员Kurt鲍姆加特纳和Georgy Kucherin在本周发表的一篇技术文章中说：”也许我们有间谍活动和知识产权盗窃的混合，但真正的动机仍然是个谜。”

调查的起点是2021年11月，当时卡巴斯基说，它发现了多个PlugX装载机和其他有效载荷，这些有效载荷是通过雇员监测服务和安全包部署服务部署的。

该公司指出，最初的感染方法- -通过安全解决方案包分配框架- -为威胁行为者提供了”以某种隐形的方式进行网络间谍活动”。

随后，据说使用了相同的安全包部署服务来提供所谓的GamePlayerFramework，这是一个基于C + +的恶意软件PuppetLoader的C #变种。

研究人员解释说，这个”框架”包括下载器、启动器和一组插件，它们提供远程访问和窃取击键和剪贴板数据。

有迹象表明，DiceyF活动是对地球Berberoka的后续活动，它使用了经过改造的恶意软件工具集，即使该框架是通过两个独立的分支Tifa和Yuna来维护的，这些分支具有不同程度的复杂性。

虽然Tifa分支包含一个下载器和一个核心组件，但Yuna在功能方面更为复杂，它包含一个下载器、一组插件和至少12个PuppetLoader模块。也就是说，这两个分支都被认为是积极和增量更新的。

无论使用哪种变体，GamePlayerFramework一旦启动，就会连接到一个命令与控制( C2 )，并传输有关被入侵主机和剪贴板内容的信息，然后C2用15个命令中的一个来响应，这些命令允许恶意软件夺取机器的控制权。

这还包括在受害者系统上启动一个插件，当框架被实例化时可以从C2服务器下载或者使用服务器发送的” InstallPlugin “命令检索。

这些插件反过来又使得从Google Chrome和Mozilla Firefox浏览器中窃取cookie，捕获击键和剪贴板数据，设置虚拟桌面会话，甚至通过SSH远程连接到机器成为可能。

卡巴斯基还指出，使用了一个恶意的应用程序，它模仿了另一个名为”芒果员工账户数据同步”的软件，这是一个用于目标实体的信使应用程序，以在网络中删除GamePlayer框架。

研究人员说，DiceyF活动和TTP有许多有趣的特点。该小组随着时间的推移修改其代码库，并在整个入侵过程中开发代码中的功能。

为了确保受害者不会对伪装的植入物产生怀疑，攻击者获得了关于目标组织(例如组织IT部门所在的楼层)的信息，并将其包含在展示给受害者的图形窗口中。