Ci hakerzy rozpowszechniają oprogramowanie ransomware, aby odwrócić uwagę – aby ukryć swoje cyberszpiegowanie

Grupa prawdopodobnie wspieranych przez państwo cyberprzestępców przyjęła nowy program ładujący, aby rozprzestrzeniać pięć różnych rodzajów oprogramowania ransomware, aby ukryć swoje prawdziwe działania szpiegowskie.

W czwartek analitycy cyberbezpieczeństwa z Secureworks opublikowali nowe badania na HUI Loader, złośliwym narzędziu, z którego przestępcy powszechnie korzystają od 2015 roku.

Programy ładujące to małe, złośliwe pakiety zaprojektowane tak, aby pozostawały niewykryte na zaatakowanej maszynie. Chociaż często brakuje im wielu funkcji jako niezależne złośliwe oprogramowanie, mają jedno kluczowe zadanie: ładować i uruchamiać dodatkowe złośliwe ładunki.

ZOBACZ: Gang phishingowy, który ukradł miliony, zwabiając ofiary na fałszywe strony banków, zostaje rozbity przez policję

Ładowarka HUI to niestandardowy program ładujący biblioteki DLL, który może zostać wdrożony przez przejęte legalne programy podatne na przejęcie kolejności wyszukiwania bibliotek DLL. Po uruchomieniu program ładujący wdroży i odszyfruje plik zawierający główny ładunek złośliwego oprogramowania.

W przeszłości HUI Loader był używany w kampaniach przez grupy, w tym APT10/Brązowy Brzeg – związany z chińskim Ministerstwem Bezpieczeństwa Państwowego (MSS) – oraz Niebieski termit. W poprzednich kampaniach grupy wdrożyły trojany zdalnego dostępu (RAT), w tym SodaMaster, PlugX i QuasarRAT.

Teraz wygląda na to, że loader został przystosowany do rozprzestrzeniania ransomware.

Według zespołu badawczego Secureworks Counter Threat Unit (CTU), dwa klastry aktywności związane z HUI Loader zostały połączone z chińskojęzycznymi cyberprzestępcami.

Podejrzewa się, że pierwszy klaster jest dziełem Bronze Riverside. Ta grupa hakerska skupia się na kradzieży cennej własności intelektualnej od japońskich organizacji i wykorzystuje program ładujący do uruchomienia SodaMaster RAT.

Drugi należy jednak do Bronze Starlight. SecureWorks uważa, że ​​działania cyberprzestępców są również dostosowane do kradzieży IP i cyberszpiegostwa.

Cele różnią się w zależności od tego, jakie informacje próbują zdobyć cyberprzestępcy. Ofiarami są brazylijskie firmy farmaceutyczne, amerykańskie media, japońscy producenci oraz dział lotniczy i obronny dużej indyjskiej organizacji.

WIDZIEĆ: Ataki ransomware: to dane, które cyberprzestępcy naprawdę chcą ukraść

Ta grupa jest bardziej interesująca z tych dwóch, ponieważ wdraża pięć różnych rodzajów oprogramowania ransomware po wykorzystaniu: LockFile, AtomSilo, Rook, Night Sky i Pandora. Loader służy do wdrażania beaconów Cobalt Strike podczas kampanii, które tworzą zdalne połączenie, a następnie wykonywany jest pakiet ransomware.

CTU twierdzi, że cyberprzestępcy opracowali swoje wersje oprogramowania ransomware na podstawie dwóch różnych baz kodu: jednej dla LockFile i AtomSilo, a drugiej dla Rooka, Night Sky i Pandory.

„W oparciu o kolejność, w jakiej te rodziny oprogramowania ransomware pojawiły się w połowie 2021 r., cyberprzestępcy prawdopodobnie najpierw opracowali LockFile i AtomSilo, a następnie opracowali Rook, Night Sky i Pandora” – mówi zespół.

Avast wydał deszyfrator dla LockFile i AtomSilo. Jeśli chodzi o inne warianty ransomware, wydaje się, że wszystkie są oparte na kodzie źródłowym Babuk.

Loader również został niedawno zaktualizowany. W marcu analitycy cyberbezpieczeństwa odkryli nową wersję HUI Loader, która wykorzystuje szyfry RC4 do odszyfrowania ładunku. Program ładujący wykorzystuje teraz ulepszony kod zaciemniania, aby spróbować wyłączyć śledzenie zdarzeń systemu Windows dla systemu Windows (ETW), kontrole interfejsu skanowania przed złośliwym oprogramowaniem (AMSI) i manipulować wywołaniami interfejsu API systemu Windows.

„Chociaż grupy sponsorowane przez chiński rząd w przeszłości nie używały oprogramowania ransomware, w innych krajach istnieje precedens” — mówi SecureWorks. „Odwrotnie, chińskie grupy sponsorowane przez rząd używające oprogramowania ransomware jako odwracania uwagi prawdopodobnie sprawiłyby, że działalność przypominałaby wdrażanie oprogramowania ransomware motywowane finansami. Jednak połączenie wiktymologii oraz pokrywanie się z infrastrukturą i narzędziami związanymi z działalnością grupy zagrożeń sponsorowanych przez rząd wskazuje, że Bronze Starlight może wdrażać oprogramowanie ransomware, aby ukryć swoją działalność cyberszpiegowską”.

Poprzedni i pokrewny zasięg

Masz napiwek? Bądź w kontakcie bezpiecznie przez WhatsApp | Sygnał w + 447713 025 499 lub nowszy w Keybase: charlie0