Nämä hakkerit levittävät kiristysohjelmia häiriötekijänä – piilottaakseen verkkovakoilunsa

Joukko todennäköisiä valtion tukemia kyberhyökkääjiä on ottanut käyttöön uuden latausohjelman levittääkseen viittä erilaista kiristysohjelmaa salatakseen todellisen vakoilutoimintansa.

Torstaina Secureworksin kyberturvallisuustutkijat julkaisivat uutta tutkimusta HUI Loaderissa, haitallisessa työkalussa, jota rikolliset ovat käyttäneet laajalti vuodesta 2015 lähtien.

Loaders ovat pieniä, haitallisia paketteja, jotka on suunniteltu pysymään huomaamatta vaarantuneessa koneessa. Vaikka niiltä usein puuttuu paljon toimintoja itsenäisinä haittaohjelmina, niillä on yksi tärkeä tehtävä: ladata ja suorittaa ylimääräisiä haitallisia hyötykuormia.

KATSO: Poliisi hajottaa tietojenkalasteluryhmän, joka varasti miljoonia houkuttelemalla uhreja väärennetyille pankkisivustoille

HUI Loader on mukautettu DLL-lataaja, joka voidaan ottaa käyttöön kaapatuilla laillisilla ohjelmistoilla, jotka ovat alttiita DLL-hakujärjestyksen kaappaukselle. Kun lataus on suoritettu, se ottaa käyttöön ja purkaa tiedoston, joka sisältää pääasiallisen haittaohjelman hyötykuorman.

Aikaisemmin HUI Loaderia käyttivät kampanjoissa ryhmät, mukaan lukien APT10/Pronssijokiranta – yhteydessä Kiinan valtion turvallisuusministeriöön (MSS) – ja Sininen termiitti. Ryhmät ovat ottaneet käyttöön etäkäyttötroijalaisia ​​(RAT), mukaan lukien SodaMaster, PlugX ja QuasarRAT aiemmissa kampanjoissa.

Nyt näyttää siltä, ​​​​että latausohjelma on mukautettu levittämään kiristysohjelmia.

Secureworksin Counter Threat Unit (CTU) -tutkimusryhmän mukaan kaksi HUI Loaderiin liittyvää aktiviteettiklusteria on yhdistetty kiinankielisiin uhkatoimijoihin.

Ensimmäisen klusterin epäillään olevan Bronze Riversiden työ. Tämä hakkerointiryhmä keskittyy varastamaan arvokasta immateriaaliomaisuutta japanilaisilta organisaatioilta ja käyttää latausohjelmaa SodaMaster RAT:n suorittamiseen.

Toinen kuitenkin kuuluu Bronze Starlightille. SecureWorks uskoo, että uhkatoimijoiden toiminta on myös räätälöity IP-varkauksiin ja kybervakoiluun.

Tavoitteet vaihtelevat sen mukaan, mitä tietoa verkkorikolliset yrittävät saada. Uhreja ovat brasilialaiset lääkeyhtiöt, yhdysvaltalainen media, japanilaiset valmistajat ja suuren intialaisen organisaation ilmailu- ja puolustusosasto.

SEE: Ransomware-hyökkäykset: Nämä ovat tietoja, joita verkkorikolliset todella haluavat varastaa

Tämä ryhmä on mielenkiintoisempi näistä kahdesta, koska ne käyttävät viittä erilaista kiristyshaittaohjelmaa: LockFile, AtomSilo, Rook, Night Sky ja Pandora. Lataajaa käytetään Cobalt Strike -majakoiden käyttöönottamiseksi kampanjoiden aikana, jotka luovat etäyhteyden ja sitten suoritetaan lunnasohjelmapaketti.

CTU kertoo, että uhkatoimijat ovat kehittäneet versionsa kiristysohjelmasta kahdesta erillisestä koodipohjasta: yksi LockFilelle ja AtomSilolle ja toinen Rookille, Night Skylle ja Pandoralle.

"Näiden kiristysohjelmaperheiden ilmestymisjärjestyksen perusteella vuoden 2021 puolivälistä alkaen uhkatoimijat kehittivät todennäköisesti ensin LockFilen ja AtomSilon ja sitten kehittivät Rookin, Night Skyn ​​ja Pandoran", tiimi sanoo.

Avast on julkaissut a salauksen purkaja LockFilelle ja AtomSilolle. Mitä tulee muihin ransomware-versioihin, näyttää siltä, ​​​​että ne kaikki perustuvat Babukin lähdekoodiin.

Myös kuormaaja on hiljattain päivitetty. Maaliskuussa kyberturvallisuustutkijat löysivät uuden version HUI Loaderista, joka käyttää RC4-salauksia hyötykuorman salauksen purkamiseen. Lataaja käyttää nyt myös parannettua hämäräkoodia yrittääkseen poistaa käytöstä Windows Event Tracing for Windows (ETW), Antimalware Scan Interface (AMSI) -tarkistukset ja peukaloida Windows API -kutsuja.

"Vaikka Kiinan hallituksen tukemat ryhmät eivät ole historiallisesti käyttäneet lunnasohjelmia, muissa maissa on ennakkotapauksia", SecureWorks sanoo. "Päinvastoin, Kiinan hallituksen tukemat ryhmät, jotka käyttävät kiristysohjelmia häiriötekijänä, tekisivät toiminnasta todennäköisesti taloudellisesti motivoituja kiristysohjelmien käyttöönottoja. Viktimologian yhdistelmä ja päällekkäisyys valtion tukemaan uhkaryhmien toimintaan liittyvän infrastruktuurin ja työkalujen kanssa viittaavat kuitenkin siihen, että Bronze Starlight saattaa käyttää lunnasohjelmia piilottaakseen kybervakoilutoimintansa."

Edellinen ja niihin liittyvä kattavuus

Onko kärki? Ota yhteyttä turvallisesti WhatsAppin kautta Signaali on + 447713 025 499 tai yli Keybasessa: charlie0