Deze hackers verspreiden ransomware als afleiding – om hun cyberspionage te verbergen

Een groep waarschijnlijk door de staat gesteunde cyberaanvallers heeft een nieuwe lader gebruikt om vijf verschillende soorten ransomware te verspreiden in een poging hun ware spionageactiviteiten te verbergen.

Dat hebben cybersecurity-onderzoekers van Secureworks donderdag gepubliceerd nieuw onderzoek op HUI Loader, een kwaadaardige tool die criminelen sinds 2015 op grote schaal hebben gebruikt.

Loaders zijn kleine, kwaadaardige pakketten die zijn ontworpen om onopgemerkt te blijven op een gecompromitteerde machine. Hoewel ze als onafhankelijke malware vaak niet veel functionaliteit hebben, hebben ze één cruciale taak: het laden en uitvoeren van extra kwaadaardige payloads.

ZIE: Phishing-bende die miljoenen heeft gestolen door slachtoffers naar valse bankwebsites te lokken, wordt opgerold door de politie

HUI-lader is een aangepaste DLL-lader die kan worden ingezet door gekaapte legitieme softwareprogramma's die vatbaar zijn voor kaping van de DLL-zoekopdracht. Eenmaal uitgevoerd, zal de loader een bestand met de belangrijkste malware-payload implementeren en decoderen.

In het verleden werd HUI Loader gebruikt in campagnes door onder andere APT10/Bronzen rivieroever – verbonden aan het Chinese Ministerie van Staatsveiligheid (MSS) – en Blauwe termiet. De groepen hebben in eerdere campagnes trojans voor externe toegang (RAT's) ingezet, waaronder SodaMaster, PlugX en QuasarRAT.

Nu blijkt dat de loader is aangepast om ransomware te verspreiden.

Volgens het onderzoeksteam van de Counter Threat Unit (CTU) van Secureworks zijn twee activiteitenclusters die verband houden met HUI Loader in verband gebracht met Chineessprekende dreigingsactoren.

Het eerste cluster wordt ervan verdacht het werk te zijn van Bronze Riverside. Deze hackgroep richt zich op het stelen van waardevol intellectueel eigendom van Japanse organisaties en gebruikt de loader om de SodaMaster RAT uit te voeren.

De tweede is echter van Bronze Starlight. SecureWorks is van mening dat de activiteiten van de bedreigingsactoren ook zijn toegesneden op IP-diefstal en cyberspionage.

Doelen variëren afhankelijk van de informatie die de cybercriminelen proberen te verkrijgen. Slachtoffers zijn onder meer Braziliaanse farmaceutische bedrijven, een Amerikaanse media-outlet, Japanse fabrikanten en de lucht- en ruimtevaart- en defensiedivisie van een grote Indiase organisatie.

ZIEN: Ransomware-aanvallen: dit zijn de gegevens die cybercriminelen echt willen stelen

Deze groep is de interessantste van de twee omdat ze vijf verschillende soorten ransomware na de exploitatie inzetten: LockFile, AtomSilo, Rook, Night Sky en Pandora. De loader wordt gebruikt om Cobalt Strike-bakens in te zetten tijdens campagnes, die een externe verbinding tot stand brengen, waarna een ransomware-pakket wordt uitgevoerd.

CTU zegt dat de aanvallers hun versies van de ransomware hebben ontwikkeld op basis van twee verschillende codebases: een voor LockFile en AtomSilo, en de andere voor Rook, Night Sky en Pandora.

“Op basis van de volgorde waarin deze ransomware-families vanaf medio 2021 verschenen, ontwikkelden de bedreigingsactoren waarschijnlijk eerst LockFile en AtomSilo en vervolgens Rook, Night Sky en Pandora”, zegt het team.

Avast heeft een decryptor voor LockFile en AtomSilo. Als het gaat om de andere varianten van ransomware, lijkt het erop dat ze allemaal gebaseerd zijn op de Babuk-broncode.

De lader is ook onlangs bijgewerkt. In maart vonden de cyberbeveiligingsonderzoekers een nieuwe versie van HUI Loader die RC4-cijfers gebruikt om de payload te decoderen. De lader maakt nu ook gebruik van verbeterde verduisteringscode om controles van Windows Event Tracing for Windows (ETW), Antimalware Scan Interface (AMSI) en sabotage met Windows API-aanroepen uit te schakelen.

"Hoewel door de Chinese overheid gesponsorde groepen in het verleden geen ransomware hebben gebruikt, is er een precedent in andere landen", zegt SecureWorks. “Omgekeerd zouden door de Chinese overheid gesponsorde groepen die ransomware als afleiding gebruiken, de activiteit waarschijnlijk doen lijken op financieel gemotiveerde ransomware-implementaties. De combinatie van slachtofferschap en de overlap met infrastructuur en tooling in verband met door de overheid gesponsorde activiteiten van dreigingsgroepen geeft echter aan dat Bronze Starlight mogelijk ransomware inzet om zijn cyberspionageactiviteiten te verbergen.

Eerdere en gerelateerde dekking

Heeft u een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 of hoger op Keybase: charlie499