ينشر هؤلاء المتسللون فيروسات الفدية كوسيلة إلهاء - لإخفاء تجسسهم الإلكتروني

تبنت مجموعة من المهاجمين السيبرانيين المدعومين من الدولة محملًا جديدًا لنشر خمسة أنواع مختلفة من برامج الفدية في محاولة لإخفاء أنشطتهم التجسسية الحقيقية.

نشر باحثو الأمن السيبراني من Secureworks يوم الخميس بحث جديد على HUI Loader ، وهي أداة خبيثة استخدمها المجرمون على نطاق واسع منذ عام 2015.

اللوادر عبارة عن حزم صغيرة ضارة مصممة للبقاء غير مكتشفة على جهاز مخترق. على الرغم من افتقارها في كثير من الأحيان إلى الكثير من الوظائف مثل البرامج الضارة المستقلة ، إلا أن لديها مهمة واحدة حاسمة: تحميل وتنفيذ حمولات ضارة إضافية.

انظر: عصابة التصيد الاحتيالي التي سرقت الملايين من خلال استدراج الضحايا إلى مواقع مصرفية مزيفة يتم تفكيكها من قبل الشرطة

HUI محمل عبارة عن أداة تحميل DLL مخصصة يمكن نشرها عن طريق برامج شرعية تم الاستيلاء عليها وعرضة لاختطاف أمر بحث DLL. بمجرد التنفيذ ، سيقوم المُحمل بنشر وفك تشفير ملف يحتوي على حمولة البرامج الضارة الرئيسية.

في الماضي ، تم استخدام HUI Loader في حملات من قبل مجموعات بما في ذلك APT10 /ضفة النهر البرونزية - مرتبط بوزارة أمن الدولة الصينية (MSS) - و النمل الأبيض الأزرق. قامت المجموعات بنشر أحصنة طروادة الوصول عن بعد (RATs) بما في ذلك SodaMaster و PlugX و QuasarRAT في الحملات السابقة.

الآن ، يبدو أن أداة التحميل قد تم تكييفها لنشر برامج الفدية.

وفقًا لفريق بحث وحدة مكافحة التهديدات (CTU) في Secureworks ، تم ربط مجموعتين من الأنشطة ذات الصلة بـ HUI Loader بممثلي التهديد الناطقين باللغة الصينية.

يُشتبه في أن المجموعة الأولى هي عمل برونزي ريفرسايد. تركز مجموعة القرصنة هذه على سرقة الملكية الفكرية القيمة من المنظمات اليابانية وتستخدم أداة التحميل لتنفيذ SodaMaster RAT.

الثاني ، مع ذلك ، ينتمي إلى Bronze Starlight. تعتقد SecureWorks أن أنشطة الجهات الفاعلة في التهديد مصممة أيضًا لسرقة IP والتجسس الإلكتروني.

تختلف الأهداف اعتمادًا على المعلومات التي يحاول مجرمو الإنترنت الحصول عليها. ومن بين الضحايا شركات الأدوية البرازيلية ، ومنفذ إعلامي أمريكي ، والمصنعين اليابانيين ، وقسم الدفاع الجوي والطيران التابع لمنظمة هندية كبرى.

نرى: هجمات برامج الفدية: هذه هي البيانات التي يريد مجرمو الإنترنت سرقتها حقًا

هذه المجموعة هي الأكثر إثارة للاهتمام من بين الاثنين لأنها تنشر خمسة أنواع مختلفة من برامج الفدية بعد استغلالها: LockFile و AtomSilo و Rook و Night Sky و Pandora. يتم استخدام أداة التحميل لنشر إشارات Cobalt Strike أثناء الحملات ، مما يؤدي إلى إنشاء اتصال عن بُعد ، ثم يتم تنفيذ حزمة برامج الفدية.

تقول CTU أن الجهات الفاعلة في التهديد طورت نسخها من برنامج الفدية من قاعدتي كود مميزتين: واحدة لـ LockFile و AtomSilo ، والأخرى لـ Rook و Night Sky و Pandora.

يقول الفريق: "استنادًا إلى الترتيب الذي ظهرت به عائلات برامج الفدية هذه بدءًا من منتصف عام 2021 ، من المحتمل أن يكون الفاعلون المهددون قد طوروا لأول مرة LockFile و AtomSilo ثم طوروا Rook و Night Sky و Pandora".

أصدرت Avast ملف فك التشفير لـ LockFile و AtomSilo. عندما يتعلق الأمر بمتغيرات برامج الفدية الأخرى ، يبدو أنها تستند جميعها إلى كود مصدر Babuk.

تم أيضًا تحديث أداة التحميل مؤخرًا. في مارس ، وجد باحثو الأمن السيبراني إصدارًا جديدًا من HUI Loader يستخدم شفرات RC4 لفك تشفير الحمولة. يستخدم المُحمل الآن أيضًا رمز تشويش مُحسَّن لمحاولة تعطيل Windows Event Tracing for Windows (ETW) وفحص واجهة مسح البرامج الضارة (AMSI) والتلاعب بمكالمات Windows API.

يقول SecureWorks: "على الرغم من أن المجموعات التي ترعاها الحكومة الصينية لم تستخدم تاريخيًا برامج الفدية ، إلا أن هناك سابقة في بلدان أخرى". "على العكس من ذلك ، فإن المجموعات التي ترعاها الحكومة الصينية والتي تستخدم برامج الفدية كإلهاء من المحتمل أن تجعل النشاط يشبه عمليات نشر برامج الفدية ذات الدوافع المالية. ومع ذلك ، فإن الجمع بين علم الضحايا والتداخل مع البنية التحتية والأدوات المرتبطة بنشاط مجموعة التهديد الذي ترعاه الحكومة يشير إلى أن Bronze Starlight قد تنشر برامج الفدية لإخفاء نشاط التجسس الإلكتروني الخاص بها. "

التغطية السابقة وذات الصلة

هل لديك معلومات سرية؟ تواصل بشكل آمن عبر WhatsApp | إشارة في + 447713 025 499 ، أو أكثر في Keybase: charlie0