Tito hackeři šíří ransomware jako rozptýlení – aby skryli své kybernetické špehování

Skupina pravděpodobně státem podporovaných kybernetických útočníků přijala nový zavaděč k šíření pěti různých druhů ransomwaru ve snaze skrýt své skutečné špionážní aktivity.

Ve čtvrtek to zveřejnili výzkumníci kybernetické bezpečnosti ze společnosti Secureworks nový výzkum na HUI Loader, škodlivý nástroj, který zločinci široce používají od roku 2015.

Zavaděče jsou malé, škodlivé balíčky navržené tak, aby zůstaly nedetekovány na kompromitovaném počítači. I když často postrádají mnoho funkcí jako nezávislý malware, mají jeden zásadní úkol: načíst a spustit další škodlivé užitečné zatížení.

VIZ: Phishingový gang, který ukradl miliony lákáním obětí na falešné webové stránky bank, je rozbit policií

Zavaděč HUI je vlastní DLL zavaděč, který může být nasazen unesenými legitimními softwarovými programy náchylnými k únosu příkazu hledání DLL. Po spuštění zavaděč nasadí a dešifruje soubor obsahující hlavní obsah malwaru.

V minulosti byl HUI Loader používán v kampaních skupinami včetně APT10/Bronzové nábřeží – napojená na čínské ministerstvo státní bezpečnosti (MSS) – a Modrý termit. Skupiny nasadily v předchozích kampaních trojské koně pro vzdálený přístup (RAT) včetně SodaMaster, PlugX a QuasarRAT.

Nyní se zdá, že zavaděč byl přizpůsoben k šíření ransomwaru.

Podle výzkumného týmu Counter Threat Unit (CTU) společnosti Secureworks byly dva shluky aktivit související s HUI Loader propojeny s čínsky mluvícími aktéry hrozeb.

První shluk je podezřelý, že je dílem Bronze Riverside. Tato hackerská skupina se zaměřuje na krádeže cenného duševního vlastnictví od japonských organizací a používá loader ke spuštění SodaMaster RAT.

Druhá však patří Bronze Starlight. SecureWorks věří, že aktivity aktérů hrozeb jsou také přizpůsobeny krádežím IP a kybernetické špionáži.

Cíle se liší v závislosti na tom, jaké informace se kybernetičtí zločinci snaží získat. Mezi oběti patří brazilské farmaceutické společnosti, americká média, japonští výrobci a divize letectví a obrany velké indické organizace.

VIDĚT: Ransomwarové útoky: Toto jsou data, která chtějí počítačoví zločinci skutečně ukrást

Tato skupina je z těchto dvou zajímavější, protože po zneužití nasazuje pět různých druhů ransomwaru: LockFile, AtomSilo, Rook, Night Sky a Pandora. Zavaděč se používá k nasazení majáků Cobalt Strike během kampaní, které vytvoří vzdálené připojení a poté se spustí balíček ransomwaru.

CTU říká, že aktéři hrozeb vyvinuli své verze ransomwaru ze dvou odlišných kódových základen: jedna pro LockFile a AtomSilo a druhá pro Rook, Night Sky a Pandora.

„Na základě pořadí, ve kterém se tyto rodiny ransomwaru objevovaly od poloviny roku 2021, aktéři hrozeb pravděpodobně nejprve vyvinuli LockFile a AtomSilo a poté vyvinuli Rook, Night Sky a Pandoru,“ říká tým.

Avast vydal a dešifrovač pro LockFile a AtomSilo. Pokud jde o další varianty ransomwaru, zdá se, že všechny jsou založeny na zdrojovém kódu Babuk.

Zavaděč byl také nedávno aktualizován. V březnu našli výzkumníci kybernetické bezpečnosti novou verzi HUI Loader, která používá šifry RC4 k dešifrování užitečného zatížení. Zavaděč nyní také využívá vylepšený kód zatemnění, aby se pokusil a zakázal sledování událostí Windows pro Windows (ETW), kontroly rozhraní AMSI (Antimalware Scan Interface) a manipulace s voláními rozhraní Windows API.

„Zatímco skupiny sponzorované čínskou vládou v minulosti ransomware nepoužívaly, v jiných zemích existuje precedens,“ říká SecureWorks. „Naopak, skupiny sponzorované čínskou vládou používající ransomware jako rozptýlení by pravděpodobně způsobily, že by tato aktivita připomínala finančně motivované nasazení ransomwaru. Kombinace viktimologie a překrývání s infrastrukturou a nástroji spojenými s aktivitou vládou sponzorovaných skupin hrozeb však naznačuje, že Bronze Starlight může nasadit ransomware, aby skryl svou kyberšpionážní činnost.“

Předchozí a související pokrytí

Máte tip? Spojte se bezpečně přes WhatsApp | Signál na +447713 025 499 nebo na Keybase: charlie0