Esses hackers estão espalhando ransomware como uma distração – para esconder sua espionagem cibernética

Um grupo de prováveis ​​ciberataques apoiados pelo estado adotou um novo carregador para espalhar cinco tipos diferentes de ransomware em uma tentativa de ocultar suas verdadeiras atividades de espionagem.

Na quinta-feira, pesquisadores de segurança cibernética da Secureworks publicaram nova pesquisa no HUI Loader, uma ferramenta maliciosa que os criminosos têm usado amplamente desde 2015.

Os carregadores são pacotes pequenos e maliciosos projetados para permanecer indetectáveis ​​em uma máquina comprometida. Embora muitas vezes não tenham muita funcionalidade como malware independente, eles têm uma tarefa crucial: carregar e executar cargas maliciosas adicionais.

VEJA: Gangue de phishing que roubou milhões ao atrair vítimas para sites de bancos falsos é desmantelada pela polícia

Carregador HUI é um carregador de DLL personalizado que pode ser implantado por programas de software legítimos sequestrados suscetíveis ao seqüestro de ordem de pesquisa de DLL. Uma vez executado, o carregador implantará e descriptografará um arquivo contendo a carga útil principal do malware.

No passado, o HUI Loader era usado em campanhas por grupos como APT10/Beira do Bronze – ligado ao Ministério da Segurança do Estado chinês (MSS) – e Cupim Azul. Os grupos implantaram trojans de acesso remoto (RATs), incluindo SodaMaster, PlugX e QuasarRAT em campanhas anteriores.

Agora, parece que o carregador foi adaptado para espalhar ransomware.

De acordo com a equipe de pesquisa da Counter Threat Unit (CTU) da Secureworks, dois clusters de atividades relacionados ao HUI Loader foram conectados a agentes de ameaças que falam chinês.

Suspeita-se que o primeiro aglomerado seja obra de Bronze Riverside. Este grupo de hackers se concentra em roubar propriedade intelectual valiosa de organizações japonesas e usa o carregador para executar o SodaMaster RAT.

A segunda, no entanto, pertence a Bronze Starlight. A SecureWorks acredita que as atividades dos agentes de ameaças também são adaptadas para roubo de IP e espionagem cibernética.

Os alvos variam dependendo de quais informações os criminosos cibernéticos estão tentando obter. As vítimas incluem empresas farmacêuticas brasileiras, um meio de comunicação dos EUA, fabricantes japoneses e a divisão aeroespacial e de defesa de uma grande organização indiana.

VEJO: Ataques de ransomware: estes são os dados que os criminosos cibernéticos realmente querem roubar

Este grupo é o mais interessante dos dois, pois implanta cinco tipos diferentes de pós-exploração de ransomware: LockFile, AtomSilo, Rook, Night Sky e Pandora. O carregador é usado para implantar beacons Cobalt Strike durante as campanhas, que criam uma conexão remota e, em seguida, um pacote de ransomware é executado.

A CTU diz que os agentes de ameaças desenvolveram suas versões do ransomware a partir de duas bases de código distintas: uma para LockFile e AtomSilo e outra para Rook, Night Sky e Pandora.

“Com base na ordem em que essas famílias de ransomware apareceram a partir de meados de 2021, os agentes de ameaças provavelmente desenvolveram LockFile e AtomSilo e depois Rook, Night Sky e Pandora”, diz a equipe.

Avast lançou um decifrador para LockFile e AtomSilo. Quando se trata de outras variantes de ransomware, parece que todas são baseadas no código-fonte do Babuk.

O carregador também foi atualizado recentemente. Em março, os pesquisadores de segurança cibernética encontraram uma nova versão do HUI Loader que usa cifras RC4 para descriptografar a carga útil. O carregador agora também utiliza código de ofuscação aprimorado para tentar desabilitar o rastreamento de eventos do Windows para Windows (ETW), verificações de interface de verificação antimalware (AMSI) e adulterar chamadas de API do Windows.

“Embora grupos patrocinados pelo governo chinês não tenham usado ransomware historicamente, há precedentes em outros países”, diz SecureWorks. “Por outro lado, grupos patrocinados pelo governo chinês que usam ransomware como uma distração provavelmente fariam a atividade se assemelhar a implantações de ransomware motivadas financeiramente. No entanto, a combinação de vitimologia e a sobreposição com infraestrutura e ferramentas associadas à atividade de grupos de ameaças patrocinadas pelo governo indicam que a Bronze Starlight pode implantar ransomware para ocultar sua atividade de ciberespionagem.”

Cobertura anterior e relacionada

Tem uma dica? Entre em contato com segurança via WhatsApp | Sinal em + 447713 025 499, ou no Keybase: charlie0