Эти хакеры распространяют программы-вымогатели, чтобы отвлечься, чтобы скрыть свой кибершпионаж.

Группа кибератак, которые, вероятно, поддерживаются государством, внедрила новый загрузчик для распространения пяти различных видов программ-вымогателей, пытаясь скрыть свою настоящую шпионскую деятельность.

В четверг исследователи кибербезопасности из Secureworks опубликовали новые исследования на HUI Loader, вредоносном инструменте, который преступники широко используют с 2015 года.

Загрузчики — это небольшие вредоносные пакеты, предназначенные для того, чтобы оставаться незамеченными на скомпрометированной машине. Хотя им часто не хватает функциональности в качестве независимых вредоносных программ, у них есть одна важная задача: загружать и выполнять дополнительные вредоносные полезные нагрузки.

СМОТРИТЕ: Фишинговая банда, которая украла миллионы, заманивая жертв на сайты поддельных банков, разогнана полицией

HUI-загрузчик — это специальный загрузчик DLL, который может быть развернут угнанными легитимными программами, подверженными перехвату порядка поиска DLL. После выполнения загрузчик развертывает и расшифровывает файл, содержащий основную полезную нагрузку вредоносного ПО.

В прошлом HUI Loader использовался в кампаниях группами, включая APT10/Бронзовый Риверсайд – связан с Министерством государственной безопасности Китая (MSS) – и Синий термит. Группы развернули трояны удаленного доступа (RAT), включая SodaMaster, PlugX и QuasarRAT в предыдущих кампаниях.

Теперь, похоже, загрузчик был адаптирован для распространения программ-вымогателей.

По данным исследовательской группы Counter Threat Unit (CTU) Secureworks, два кластера активности, связанные с HUI Loader, были связаны с китайскоязычными злоумышленниками.

Предполагается, что первый кластер является работой Bronze Riverside. Эта хакерская группа занимается кражей ценной интеллектуальной собственности у японских организаций и использует загрузчик для запуска SodaMaster RAT.

Однако второй принадлежит Bronze Starlight. SecureWorks считает, что действия злоумышленников также направлены на кражу интеллектуальной собственности и кибершпионаж.

Цели варьируются в зависимости от того, какую информацию пытаются получить киберпреступники. Жертвами стали бразильские фармацевтические компании, СМИ США, японские производители и аэрокосмическое и оборонное подразделение крупной индийской организации.

ВИДЕТЬ: Атаки программ-вымогателей: это данные, которые киберпреступники действительно хотят украсть

Эта группа более интересна из двух, поскольку они используют пять различных типов программ-вымогателей после эксплойта: LockFile, AtomSilo, Rook, Night Sky и Pandora. Загрузчик используется для развертывания маяков Cobalt Strike во время кампаний, которые создают удаленное соединение, а затем выполняется пакет программ-вымогателей.

CTU сообщает, что злоумышленники разработали свои версии программы-вымогателя на основе двух разных кодовых баз: одна для LockFile и AtomSilo, а другая — для Rook, Night Sky и Pandora.

«Исходя из порядка появления этих семейств программ-вымогателей, начиная с середины 2021 года, злоумышленники, вероятно, сначала разработали LockFile и AtomSilo, а затем разработали Rook, Night Sky и Pandora», — говорят в команде.

Avast выпустила дешифратор для LockFile и AtomSilo. Что касается других вариантов программ-вымогателей, то оказывается, что все они основаны на исходном коде Babuk.

Загрузчик также был недавно обновлен. В марте исследователи кибербезопасности обнаружили новую версию HUI Loader, которая использует шифры RC4 для расшифровки полезной нагрузки. Загрузчик также теперь использует расширенный код обфускации, чтобы попытаться отключить отслеживание событий Windows для Windows (ETW), проверки интерфейса сканирования на наличие вредоносных программ (AMSI) и подделать вызовы Windows API.

«Хотя группы, спонсируемые правительством Китая, исторически не использовали программы-вымогатели, в других странах есть прецедент», — говорится в сообщении SecureWorks. «И наоборот, спонсируемые правительством Китая группы, использующие программы-вымогатели в качестве отвлечения внимания, скорее всего, сделают эту деятельность похожей на финансово мотивированное развертывание программ-вымогателей. Однако сочетание виктимологии и совпадения с инфраструктурой и инструментами, связанными с активностью спонсируемых правительством групп угроз, указывает на то, что Bronze Starlight может использовать программы-вымогатели, чтобы скрыть свою деятельность в области кибершпионажа».

Предыдущее и связанное с этим покрытие

У вас есть подсказка? Безопасно войти в контакт через WhatsApp | Сигнал на + 447713 025 499 или более на базе ключей: charlie0