これらのハッカーは、サイバースパイを隠すために、気を散らすものとしてランサムウェアを広めています

ZDNetの
ジュン 23
投稿を共有

シャッターストック-1122656969.jpg — 画像: Shutterstock / BLACKDAY

国家の支援を受けていると思われるサイバー攻撃者のグループが、真のスパイ活動を隠蔽するために、XNUMX 種類のランサムウェアを拡散する新しいローダーを採用しました。

木曜日に、Secureworks のサイバーセキュリティ研究者が公開しました新しい研究犯罪者が 2015 年から広く使用している悪意のあるツールである HUI Loader で、.

ローダーは、侵害されたマシンで検出されないように設計された、小さな悪意のあるパッケージです。多くの場合、独立したマルウェアとして多くの機能を欠いていますが、XNUMX つの重要なタスクがあります。それは、追加の悪意のあるペイロードをロードして実行することです。

参照: 被害者を偽の銀行の Web サイトにおびき寄せて数百万ドルを盗んだフィッシングギャングが警察によって解体されました

HUIローダーはカスタム DLL ローダーであり、ハイジャックされた正当なソフトウェアプログラムによって展開される可能性があり、DLL 検索順序ハイジャックの影響を受けます。実行されると、ローダーはメインのマルウェアペイロードを含むファイルを展開して復号化します。

過去に、HUI Loader は APT10/ を含むグループによるキャンペーンで使用されていました。ブロンズリバーサイド – 中国国家安全部 (MSS) に接続 – および青シロアリ. このグループは、以前のキャンペーンで、SodaMaster、PlugX、QuasarRAT などのリモートアクセストロイの木馬 (RAT) を展開しました。

現在、ローダーはランサムウェアを拡散するように改造されているようです。

Secureworks の Counter Threat Unit (CTU) 研究チームによると、HUI Loader に関連する XNUMX つのアクティビティクラスターが、中国語を話す攻撃者に接続されています。

最初のクラスターは、ブロンズリバーサイドの仕業であると疑われています。このハッキンググループは、日本の組織から貴重な知的財産を盗むことに焦点を当てており、ローダーを使用して SodaMaster RAT を実行します。

ただし、XNUMX つ目はブロンズスターライトのものです。 SecureWorks は、攻撃者の活動も IP の盗難とサイバースパイ活動に合わせて調整されていると考えています。

標的は、サイバー犯罪者が取得しようとしている情報によって異なります。被害者には、ブラジルの製薬会社、米国の報道機関、日本の製造業者、およびインドの大手組織の航空宇宙および防衛部門が含まれます。

見る： ランサムウェア攻撃：これは、サイバー犯罪者が本当に盗もうとしているデータです

このグループは、LockFile、AtomSilo、Rook、Night Sky、Pandora の XNUMX 種類のランサムウェアをエクスプロイト後に展開しているため、XNUMX つのグループの中でより興味深いものです。ローダーは、リモート接続を作成するキャンペーン中に Cobalt Strike ビーコンをデプロイするために使用され、ランサムウェアパッケージが実行されます。

CTU は、攻撃者が XNUMX つの異なるコードベースからランサムウェアのバージョンを開発したと述べています。XNUMX つは LockFile と AtomSilo 用、もう XNUMX つは Rook、Night Sky、Pandora 用です。

「これらのランサムウェアファミリが 2021 年半ば以降に出現した順序に基づくと、攻撃者は最初に LockFile と AtomSilo を開発し、次に Rook、Night Sky、および Pandora を開発した可能性があります」とチームは述べています。

アバストがリリースした復号化 LockFile および AtomSilo 用。他のランサムウェアの亜種に関して言えば、それらはすべて Babuk のソースコードに基づいているようです。

ローダーも最近更新されました。 4 月、サイバーセキュリティ研究者は、RCXNUMX 暗号を使用してペイロードを復号化する新しいバージョンの HUI ローダーを発見しました。また、ローダーは強化された難読化コードを利用して、Windows Event Tracing for Windows (ETW)、Antimalware Scan Interface (AMSI) チェックの無効化を試行し、Windows API 呼び出しを改ざんします。

「中国政府が支援するグループは歴史的にランサムウェアを使用したことはありませんが、他の国では先例があります」と SecureWorks は言います。「逆に、気晴らしとしてランサムウェアを使用する中国政府が支援するグループは、その活動を金銭目的のランサムウェア展開に似せる可能性があります。しかし、被害者学と、政府が後援する脅威グループの活動に関連するインフラストラクチャおよびツールとの重複は、Bronze Starlight がサイバースパイ活動を隠すためにランサムウェアを展開する可能性があることを示しています。」