Kasino on-line di Asia Barat Daya telah menjadi subjek Ancaman Persisten Tingkat Lanjut (APT) selama beberapa tahun. Penyelidikan pertama mengungkapkan bahwa serangan ini berasal dari Cina. Beberapa sumber menunjukkan bahwa itu adalah peretas yang didirikan di China.
Kaspersky mengidentifikasi mereka yang bertanggung jawab atas serangan ini
Kasino on-line di Asia Barat Daya telah menjadi subjek Ancaman Persisten Tingkat Lanjut (APT) selama beberapa tahun. Perusahaan keamanan siber Rusia, Kaspersky, telah mengidentifikasi sponsor serangan jenis APT ini. Menurut laporan oleh perusahaan multinasional Rusia Kaspersky, aktivitas penipuan diatur oleh sebuah organisasi bernama DiceyF.
Organisasi mendistribusikan malware ke operator kasino on-line. Tujuan dari tindakan ini adalah untuk meretas sistem pendirian kasino dan mendapatkan akses ke database mereka. GamePlayerFramework adalah nama adware yang diluncurkan oleh Kaspersky. Perangkat lunak baru yang menggunakan “pemuat multi-tahap” yang dimodifikasi dan ditulis ulang dalam C#.
Kaspersky mengklarifikasi bahwa aktivitas ini sebanding dengan serangkaian pelanggaran lain yang dilaporkan ke Earth Berberoka (alias GamblingPuppet) dan DRBControl, mengutip persamaan dalam taktik dan penargetan serta penggunaan aplikasi obrolan yang aman.
Operasi DiceyF yang diprakarsai oleh peretas adalah hasil dari aktivitas spionase dan penggerebekan kekayaan intelektual. Namun, pejabat Kaspersky terkejut menemukan bahwa tidak ada uang yang dicuri. Tidak ada niat finansial di balik aktivitas peretasan APT DiceyF ini.
Dua referensi Remaining Fantasy terlibat
Selain tujuan aktivitas DiceyF yang tidak diketahui, peneliti Rusia menemukan kode aneh di suite GamePlayerFramework. Dua referensi Remaining Fantasy telah ditemukan: Tifa dan Yuna. Kedua nama tersebut sebenarnya merujuk pada dua karakter utama dari serial populer Remaining Fantasy.
Peneliti Rusia melaporkan bahwa Yuna menyertakan pengunduh, plugin, dan beberapa komponen PuppetLoader. Modul Tifa, di sisi lain, hanya menyertakan pengunduh yang terkait dengan modul dasar. Perlu dicatat bahwa cabang Tifa menggunakan aplikasi perpesanan aman bernama Mango.
November 2021, titik awal survei
Perusahaan Rusia Kaspersky meluncurkan penyelidikan pada November 2021. Itu terjadi setelah menemukan banyak PlugX dan loader lain yang digunakan melalui layanan pemantauan dan kontrol karyawan dan layanan penerapan paket keamanan.
Menurut perusahaan Rusia, metode infeksi awal didasarkan pada pendistribusian kerangka kerja melalui paket keamanan. Hal ini memungkinkan aktor ancaman untuk melakukan kegiatan spionase dunia maya dengan cara yang halus.
Selanjutnya, mereka menggunakan layanan paket keamanan yang sama untuk mendistribusikan adware GamePlayerFramework, varian C# dari malware PuppetLoader berbasis C++. Adware ini terdiri dari pengunduh, peluncur, dan kumpulan plugin yang menyediakan akses jarak jauh. Yang terakhir ini juga mengumpulkan knowledge yang dimasukkan atau diketik pada keyboard dan knowledge dari clipboard.
Untuk membuat operasi rahasia, peretas mengumpulkan informasi tentang organisasi yang ditargetkan (seperti lantai tempat departemen TI organisasi berada). Kemudian mereka memasukkannya ke dalam jendela grafis yang ditampilkan kepada korban untuk memastikan bahwa mereka tidak curiga terhadap implan yang disamarkan.
