Peretas ini menyebarkan ransomware sebagai pengalih perhatian – untuk menyembunyikan mata-mata dunia maya mereka

Sekelompok penyerang cyber yang kemungkinan besar didukung oleh negara telah mengadopsi loader baru untuk menyebarkan lima jenis ransomware yang berbeda dalam upaya untuk menyembunyikan aktivitas spionase mereka yang sebenarnya.

Pada hari Kamis, peneliti keamanan siber dari Secureworks menerbitkan penelitian baru di HUI Loader, alat berbahaya yang digunakan penjahat secara luas sejak 2015.

Loader adalah paket kecil dan berbahaya yang dirancang untuk tetap tidak terdeteksi pada mesin yang disusupi. Meskipun sering kali tidak memiliki banyak fungsi sebagai malware independen, mereka memiliki satu tugas penting: memuat dan mengeksekusi muatan berbahaya tambahan.

LIHAT: Geng phishing yang mencuri jutaan dengan memikat korban ke situs web bank palsu dibubarkan oleh polisi

Pemuat HUI adalah pemuat DLL khusus yang dapat digunakan oleh program perangkat lunak sah yang dibajak yang rentan terhadap pembajakan urutan pencarian DLL. Setelah dijalankan, loader kemudian akan menyebarkan dan mendekripsi file yang berisi muatan malware utama.

Di masa lalu, HUI Loader digunakan dalam kampanye oleh grup termasuk APT10/Tepi Sungai Perunggu – terhubung ke Kementerian Keamanan Negara (MSS) Tiongkok – dan Rayap Biru. Grup telah menyebarkan trojan akses jarak jauh (RAT) termasuk SodaMaster, PlugX, dan QuasarRAT di kampanye sebelumnya.

Sekarang, tampaknya loader telah diadaptasi untuk menyebarkan ransomware.

Menurut tim peneliti Counter Threat Unit (CTU) Secureworks, dua kluster aktivitas yang terkait dengan HUI Loader telah terhubung ke aktor ancaman berbahasa China.

Cluster pertama diduga merupakan karya Bronze Riverside. Kelompok peretasan ini berfokus pada pencurian kekayaan intelektual yang berharga dari organisasi Jepang dan menggunakan pemuat untuk menjalankan RAT SodaMaster.

Yang kedua, bagaimanapun, milik Bronze Starlight. SecureWorks percaya bahwa aktivitas pelaku ancaman juga dirancang untuk pencurian IP dan spionase dunia maya.

Target bervariasi tergantung pada informasi apa yang coba diperoleh oleh penjahat cyber. Korban termasuk perusahaan farmasi Brasil, outlet media AS, pabrikan Jepang, dan divisi kedirgantaraan dan pertahanan organisasi besar India.

LIHAT: Serangan Ransomware: Ini adalah data yang sangat ingin dicuri oleh penjahat dunia maya

Grup ini lebih menarik dari keduanya karena mereka menyebarkan lima jenis ransomware pasca-eksploitasi: LockFile, AtomSilo, Rook, Night Sky, dan Pandora. Loader digunakan untuk menyebarkan suar Cobalt Strike selama kampanye, yang membuat koneksi jarak jauh, dan kemudian paket ransomware dijalankan.

CTU mengatakan bahwa pelaku ancaman telah mengembangkan versi ransomware mereka dari dua basis kode yang berbeda: satu untuk LockFile dan AtomSilo, dan yang lainnya untuk Rook, Night Sky, dan Pandora.

“Berdasarkan urutan kemunculan keluarga ransomware ini mulai pertengahan 2021, para pelaku ancaman kemungkinan pertama kali mengembangkan LockFile dan AtomSilo, lalu mengembangkan Rook, Night Sky, dan Pandora,” kata tim tersebut.

Avast telah merilis dekripsi untuk LockFile dan AtomSilo. Ketika datang ke varian ransomware lainnya, tampaknya semuanya didasarkan pada kode sumber Babuk.

Loader juga baru saja diperbarui. Pada bulan Maret, para peneliti keamanan siber menemukan versi baru dari HUI Loader yang menggunakan cipher RC4 untuk mendekripsi payload. Loader sekarang juga menggunakan kode obfuscation yang disempurnakan untuk mencoba dan menonaktifkan Windows Event Tracing untuk Windows (ETW), pemeriksaan Antimalware Scan Interface (AMSI), dan mengutak-atik panggilan Windows API.

“Sementara kelompok yang disponsori pemerintah China secara historis tidak menggunakan ransomware, ada preseden di negara lain,” kata SecureWorks. “Sebaliknya, kelompok yang disponsori pemerintah China yang menggunakan ransomware sebagai pengalih perhatian kemungkinan akan membuat aktivitas tersebut menyerupai penyebaran ransomware yang dimotivasi secara finansial. Namun, kombinasi viktimologi dan tumpang tindih dengan infrastruktur dan alat yang terkait dengan aktivitas kelompok ancaman yang disponsori pemerintah menunjukkan bahwa Bronze Starlight dapat menyebarkan ransomware untuk menyembunyikan aktivitas spionase sibernya.”

Cakupan sebelumnya dan terkait

Punya tip? Hubungi dengan aman melalui WhatsApp | Sinyal di +447713 025 499, atau lebih di Keybase: charlie0