Тези хакери разпространяват ransomware като разсейване - за да скрият своето кибер шпиониране

Група вероятни подкрепяни от държавата кибер нападатели са приели нов зареждащ инструмент за разпространение на пет различни вида рансъмуер в опит да скрият истинските си шпионски дейности.

В четвъртък изследователи на киберсигурността от Secureworks публикуваха нови изследвания на HUI Loader, злонамерен инструмент, който престъпниците използват широко от 2015 г.

Зареждащите са малки, злонамерени пакети, предназначени да останат незабелязани на компрометирана машина. Въпреки че често им липсва много функционалност като независим злонамерен софтуер, те имат една важна задача: да зареждат и изпълняват допълнителни злонамерени полезни товари.

ВИЖТЕ: Фишинг банда, която открадна милиони, като примамваше жертви към фалшиви банкови уебсайтове, е разбита от полицията

HUI Loader е персонализирано зареждане на DLL, което може да бъде внедрено от отвлечени законни софтуерни програми, податливи на отвличане на реда за търсене на DLL. Веднъж изпълнен, товарачът ще разположи и дешифрира файл, съдържащ основния полезен товар на зловреден софтуер.

В миналото HUI Loader се използваше в кампании от групи, включително APT10/Бронзов Ривърсайд – свързан с китайското Министерство на държавната сигурност (MSS) – и Син термит. Групите са внедрили троянски коне за отдалечен достъп (RAT), включително SodaMaster, PlugX и QuasarRAT в предишни кампании.

Сега изглежда, че товарачът е адаптиран за разпространение на ransomware.

Според изследователския екип на Secureworks' Counter Threat Unit (CTU), два клъстера от дейности, свързани с HUI Loader, са били свързани с китайскоговорящи заплахи.

Подозира се, че първият клъстер е дело на Bronze Riverside. Тази хакерска група се фокусира върху кражба на ценна интелектуална собственост от японски организации и използва товарача, за да изпълни SodaMaster RAT.

Вторият обаче принадлежи на Bronze Starlight. SecureWorks вярва, че дейностите на участниците в заплахата също са пригодени за кражба на IP и кибершпионаж.

Целите варират в зависимост от това каква информация се опитват да получат киберпрестъпниците. Жертвите включват бразилски фармацевтични компании, американска медия, японски производители и аерокосмически и отбранителен отдел на голяма индийска организация.

Виж: Атаки на Ransomware: Това са данните, които киберпрестъпниците наистина искат да откраднат

Тази група е по-интересната от двете, тъй като те внедряват пет различни вида рансъмуер след експлойт: LockFile, AtomSilo, Rook, Night Sky и Pandora. Товарачът се използва за разгръщане на маяци Cobalt Strike по време на кампании, които създават отдалечена връзка, след което се изпълнява пакет с ransomware.

CTU казва, че участниците в заплахата са разработили своите версии на рансъмуера от две различни кодови бази: една за LockFile и AtomSilo, а другата за Rook, Night Sky и Pandora.

„Въз основа на реда, в който тези фамилии рансъмуер се появяват от средата на 2021 г., участниците в заплахата вероятно първо са разработили LockFile и AtomSilo и след това са разработили Rook, Night Sky и Pandora“, казва екипът.

Avast пусна a дешифратор за LockFile и AtomSilo. Що се отнася до другите варианти на ransomware, изглежда, че всички те са базирани на изходния код на Babuk.

Товарачът също беше наскоро актуализиран. През март изследователите по киберсигурност откриха нова версия на HUI Loader, която използва RC4 шифри за дешифриране на полезния товар. Товарачът също така сега използва подобрен код за обфускация, за да опита и деактивира проследяването на събития на Windows за Windows (ETW), проверките на интерфейса за сканиране срещу зловреден софтуер (AMSI) и да подправя извикванията на Windows API.

„Въпреки че спонсорираните от китайското правителство групи в исторически план не са използвали ransomware, има прецедент в други страни“, казва SecureWorks. „Обратно, спонсорираните от китайското правителство групи, използващи ransomware като разсейване, вероятно биха направили дейността да прилича на финансово мотивирано внедряване на ransomware. Въпреки това, комбинацията от виктимология и припокриването с инфраструктура и инструменти, свързани с дейността на спонсорираната от правителството група за заплахи, показват, че Bronze Starlight може да разположи рансъмуер, за да скрие своята дейност в кибершпионажа.“

Предишно и свързано покритие

Имате ли съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0