Ovi hakeri šire ransomware kao ometanje - da sakriju svoje sajber špijuniranje

Grupa vjerovatnih sajber napadača koje podržava država usvojila je novi loader za širenje pet različitih vrsta ransomwarea u pokušaju da sakriju svoje prave špijunske aktivnosti.

U četvrtak su objavili istraživači kibernetičke sigurnosti iz Secureworksa novo istraživanje na HUI Loader-u, zlonamjernom alatu koji kriminalci naširoko koriste od 2015.

Loaderi su mali, zlonamjerni paketi dizajnirani da ostanu neotkriveni na kompromitovanoj mašini. Iako im često nedostaje mnogo funkcionalnosti kao nezavisni zlonamjerni softver, oni imaju jedan ključni zadatak: učitavanje i izvršavanje dodatnih zlonamjernih korisnih sadržaja.

SEE: Policija je razbila phishing bandu koja je ukrala milione namameći žrtve na lažne web stranice banaka

HUI Loader je prilagođeni DLL učitavač koji se može implementirati od strane otetih legitimnih softverskih programa podložnih otmici naloga pretraživanja DLL-a. Nakon što se izvrši, učitavač će zatim postaviti i dešifrirati datoteku koja sadrži glavni sadržaj zlonamjernog softvera.

U prošlosti je HUI Loader korišten u kampanjama od strane grupa uključujući APT10/Bronze Riverside – povezan sa kineskim Ministarstvom državne bezbednosti (MSS) – i Plavi Termit. Grupe su implementirale trojance za daljinski pristup (RAT) uključujući SodaMaster, PlugX i QuasarRAT u prethodnim kampanjama.

Sada se čini da je loader prilagođen za širenje ransomware-a.

Prema istraživačkom timu Secureworks-ovog Counter Threat Unit-a (CTU), dva klastera aktivnosti povezana sa HUI Loader-om su povezana sa akterima prijetnji koji govore kineski.

Za prvi klaster se sumnja da je djelo Bronze Riversidea. Ova hakerska grupa se fokusira na krađu vrijedne intelektualne svojine od japanskih organizacija i koristi loader za izvršavanje SodaMaster RAT-a.

Drugi, međutim, pripada Bronze Starlight. SecureWorks vjeruje da su aktivnosti aktera prijetnji također prilagođene krađi IP-a i sajber špijunaži.

Ciljevi se razlikuju ovisno o tome koje informacije cyber kriminalci pokušavaju dobiti. Među žrtvama su brazilske farmaceutske kompanije, američka medijska kuća, japanski proizvođači i odeljenje za vazduhoplovstvo i odbranu velike indijske organizacije.

SEE: Ransomware napadi: Ovo su podaci koje cyber kriminalci zaista žele ukrasti

Ova grupa je interesantnija od ove dvije jer koriste pet različitih vrsta ransomwarea nakon eksploatacije: LockFile, AtomSilo, Rook, Night Sky i Pandora. Učitavač se koristi za postavljanje Cobalt Strike beacons-a tokom kampanja, koji stvaraju udaljenu vezu, a zatim se izvršava ransomware paket.

CTU kaže da su akteri prijetnji razvili svoje verzije ransomware-a iz dvije različite baze koda: jedna za LockFile i AtomSilo, a druga za Rook, Night Sky i Pandora.

„Na osnovu redosleda kojim su se ove porodice ransomvera pojavljivale počevši od sredine 2021. godine, akteri pretnji su verovatno prvo razvili LockFile i AtomSilo, a zatim razvili Rook, Night Sky i Pandora“, kaže tim.

Avast je objavio a decryptor za LockFile i AtomSilo. Kada su u pitanju druge varijante ransomwarea, čini se da su sve bazirane na Babuk izvornom kodu.

Utovarivač je također nedavno ažuriran. U martu su istraživači kibernetičke sigurnosti pronašli novu verziju HUI Loader-a koja koristi RC4 šifre za dešifriranje korisnog opterećenja. Učitavač također sada koristi poboljšani kod za zamagljivanje da pokuša i onemogući Windows praćenje događaja za Windows (ETW), provjere Antimalware Scan Interface (AMSI) i mijenja Windows API pozive.

“Dok grupe koje sponzorira kineska vlada nisu u prošlosti koristile ransomware, postoji presedan u drugim zemljama,” kaže SecureWorks. „Nasuprot tome, grupe koje sponzorira kineska vlada koje koriste ransomware kao smetnju, vjerovatno bi učinile da aktivnost liči na financijski motiviran ransomware implementaciju. Međutim, kombinacija viktimologije i preklapanja s infrastrukturom i alatima povezanim s aktivnostima grupe prijetnji koju sponzorira vlada ukazuje na to da Bronze Starlight može primijeniti ransomware kako bi sakrio svoju aktivnost sajber špijunaže.”

Prethodno i srodno pokrivanje

Imaš savet? Sigurno stupite u kontakt putem WhatsApp-a | Signal na +447713 025 499 ili više na Keybase: charlie0