Αυτοί οι χάκερ διαδίδουν ransomware ως αντιπερισπασμό - για να κρύψουν την κατασκοπεία τους στον κυβερνοχώρο

Μια ομάδα πιθανών κυβερνοεπιτιθέμενων που υποστηρίζονται από το κράτος υιοθέτησαν έναν νέο φορτωτή για τη διάδοση πέντε διαφορετικών ειδών ransomware σε μια προσπάθεια να κρύψουν τις πραγματικές τους κατασκοπευτικές δραστηριότητες.

Την Πέμπτη, ερευνητές κυβερνοασφάλειας από την Secureworks δημοσίευσαν νέα έρευνα στο HUI Loader, ένα κακόβουλο εργαλείο που οι εγκληματίες χρησιμοποιούν ευρέως από το 2015.

Οι φορτωτές είναι μικρά, κακόβουλα πακέτα που έχουν σχεδιαστεί για να παραμένουν απαρατήρητα σε ένα μηχάνημα που έχει παραβιαστεί. Αν και συχνά δεν διαθέτουν πολλές λειτουργίες ως ανεξάρτητο κακόβουλο λογισμικό, έχουν ένα κρίσιμο καθήκον: να φορτώνουν και να εκτελούν επιπλέον κακόβουλα ωφέλιμα φορτία.

ΔΕΙΤΕ: Η συμμορία phishing που έκλεψε εκατομμύρια παρασύροντας θύματα σε πλαστές ιστοσελίδες τραπεζών διαλύθηκε από την αστυνομία

HUI Loader είναι ένας προσαρμοσμένος φορτωτής DLL που μπορεί να αναπτυχθεί από νόμιμα προγράμματα λογισμικού που έχουν παραβιαστεί και είναι επιρρεπή σε πειρατεία παραγγελιών αναζήτησης DLL. Μόλις εκτελεστεί, ο φορτωτής θα αναπτύξει και θα αποκρυπτογραφήσει ένα αρχείο που περιέχει το κύριο ωφέλιμο φορτίο κακόβουλου λογισμικού.

Στο παρελθόν, το HUI Loader χρησιμοποιήθηκε σε καμπάνιες από ομάδες όπως το APT10/Bronze Riverside – συνδέεται με το κινεζικό Υπουργείο Κρατικής Ασφάλειας (MSS) – και Μπλε τερμίτης. Οι ομάδες έχουν αναπτύξει trojan απομακρυσμένης πρόσβασης (RAT) συμπεριλαμβανομένων των SodaMaster, PlugX και QuasarRAT σε προηγούμενες καμπάνιες.

Τώρα, φαίνεται ότι ο φορτωτής έχει προσαρμοστεί για τη διάδοση ransomware.

Σύμφωνα με την ερευνητική ομάδα της Secureworks Counter Threat Unit (CTU), δύο ομάδες δραστηριοτήτων που σχετίζονται με το HUI Loader έχουν συνδεθεί με κινεζόφωνους φορείς απειλών.

Το πρώτο σύμπλεγμα είναι ύποπτο ότι είναι έργο του Bronze Riverside. Αυτή η ομάδα hacking επικεντρώνεται στην κλοπή πολύτιμης πνευματικής ιδιοκτησίας από ιαπωνικούς οργανισμούς και χρησιμοποιεί το πρόγραμμα φόρτωσης για να εκτελέσει το SodaMaster RAT.

Το δεύτερο, όμως, ανήκει στο Bronze Starlight. Η SecureWorks πιστεύει ότι οι δραστηριότητες των φορέων απειλών είναι επίσης προσαρμοσμένες για κλοπή IP και κατασκοπεία στον κυβερνοχώρο.

Οι στόχοι ποικίλλουν ανάλογα με τις πληροφορίες που προσπαθούν να αποκτήσουν οι εγκληματίες του κυβερνοχώρου. Τα θύματα περιλαμβάνουν φαρμακευτικές εταιρείες της Βραζιλίας, αμερικανικό μέσο ενημέρωσης, Ιάπωνες κατασκευαστές και τμήμα αεροδιαστημικής και άμυνας ενός σημαντικού ινδικού οργανισμού.

ΒΛΕΠΩ: Επιθέσεις Ransomware: Αυτά είναι τα δεδομένα που οι εγκληματίες του κυβερνοχώρου θέλουν πραγματικά να κλέψουν

Αυτή η ομάδα είναι η πιο ενδιαφέρουσα από τις δύο, καθώς αναπτύσσει πέντε διαφορετικά είδη ransomware μετά την εκμετάλλευση: LockFile, AtomSilo, Rook, Night Sky και Pandora. Ο φορτωτής χρησιμοποιείται για την ανάπτυξη φάρων Cobalt Strike κατά τη διάρκεια εκστρατειών, οι οποίες δημιουργούν μια απομακρυσμένη σύνδεση και, στη συνέχεια, εκτελείται ένα πακέτο ransomware.

Η CTU λέει ότι οι φορείς απειλών έχουν αναπτύξει τις εκδόσεις τους για το ransomware από δύο ξεχωριστές βάσεις κώδικα: μία για το LockFile και το AtomSilo και το άλλο για το Rook, το Night Sky και το Pandora.

«Με βάση τη σειρά με την οποία εμφανίστηκαν αυτές οι οικογένειες ransomware ξεκινώντας από τα μέσα του 2021, οι παράγοντες απειλών πιθανότατα ανέπτυξαν πρώτα το LockFile και το AtomSilo και στη συνέχεια ανέπτυξαν τα Rook, Night Sky και Pandora», λέει η ομάδα.

Η Avast κυκλοφόρησε ένα αποκρυπτογραφητής για το LockFile και το AtomSilo. Όσον αφορά τις άλλες παραλλαγές ransomware, φαίνεται ότι όλες βασίζονται στον πηγαίο κώδικα Babuk.

Ο φορτωτής έχει επίσης ενημερωθεί πρόσφατα. Τον Μάρτιο, οι ερευνητές της κυβερνοασφάλειας βρήκαν μια νέα έκδοση του HUI Loader που χρησιμοποιεί κρυπτογράφηση RC4 για την αποκρυπτογράφηση του ωφέλιμου φορτίου. Το πρόγραμμα φόρτωσης χρησιμοποιεί επίσης τώρα βελτιωμένο κώδικα συσκότισης για να προσπαθήσει να απενεργοποιήσει την ανίχνευση συμβάντων των Windows για Windows (ETW), τους ελέγχους της διεπαφής σάρωσης κατά κακόβουλου λογισμικού (AMSI) και την παραβίαση κλήσεων API των Windows.

"Ενώ ομάδες που χρηματοδοτούνται από την κινεζική κυβέρνηση δεν έχουν χρησιμοποιήσει ιστορικά ransomware, υπάρχει προηγούμενο σε άλλες χώρες", λέει η SecureWorks. «Αντίθετα, ομάδες που χρηματοδοτούνται από την κινεζική κυβέρνηση που χρησιμοποιούν ransomware ως απόσπαση της προσοχής πιθανότατα θα έκαναν τη δραστηριότητα να μοιάζει με ανάπτυξη ransomware με οικονομικά κίνητρα. Ωστόσο, ο συνδυασμός της θυματολογίας και η επικάλυψη με υποδομές και εργαλεία που σχετίζονται με τη δραστηριότητα ομάδων απειλών που χρηματοδοτείται από την κυβέρνηση υποδηλώνει ότι η Bronze Starlight μπορεί να αναπτύξει ransomware για να κρύψει τη δραστηριότητα της κυβερνοκατασκοπείας».

Προηγούμενη και σχετική κάλυψη

Έχετε μια συμβουλή; Επικοινωνήστε με την εταιρεία WhatsApp | Σήμανση στο +447713 025 499, ή πάνω στο Keybase: charlie0