Ti hekerji širijo izsiljevalsko programsko opremo kot motnjo – da skrijejo svoje kibernetsko vohunjenje

Skupina verjetno kibernetskih napadalcev, ki jih podpira država, je sprejela nov nalagalnik za širjenje petih različnih vrst izsiljevalske programske opreme, da bi prikrili svoje resnične vohunske dejavnosti.

V četrtek so raziskovalci kibernetske varnosti iz Secureworks objavili nove raziskave na HUI Loader, zlonamerno orodje, ki ga kriminalci pogosto uporabljajo od leta 2015.

Nalagalniki so majhni, zlonamerni paketi, zasnovani tako, da ostanejo neodkriti na ogroženem računalniku. Čeprav kot neodvisna zlonamerna programska oprema pogosto nimajo veliko funkcij, imajo eno ključno nalogo: naložiti in izvesti dodatne zlonamerne obremenitve.

GLEJ: Policija je razbila združbo lažnega predstavljanja, ki je ukradla milijone z zvabljanjem žrtev na lažna bančna spletna mesta

Nalagalnik HUI je nalagalnik DLL po meri, ki ga lahko namestijo ugrabljeni zakoniti programi programske opreme, dovzetni za ugrabitev vrstnega reda iskanja DLL. Ko bo nakladalnik izveden, bo nato namestil in dešifriral datoteko, ki vsebuje glavno vsebino zlonamerne programske opreme.

V preteklosti so HUI Loader v kampanjah uporabljale skupine, vključno z APT10/Bronasto obrežje – povezan s kitajskim ministrstvom za državno varnost (MSS) – in Modri ​​termit. Skupine so v prejšnjih kampanjah namestile trojance za oddaljeni dostop (RAT), vključno s SodaMaster, PlugX in QuasarRAT.

Zdaj se zdi, da je bil nalagalnik prilagojen za širjenje izsiljevalske programske opreme.

Po podatkih raziskovalne skupine Secureworks Counter Threat Unit (CTU) sta bili dve skupini dejavnosti, povezani s HUI Loaderjem, povezani s kitajsko govorečimi akterji groženj.

Sumi se, da je prvi grozd delo Bronze Riversidea. Ta hekerska skupina se osredotoča na krajo dragocene intelektualne lastnine japonskih organizacij in uporablja nalagalnik za izvedbo SodaMaster RAT.

Drugi pa pripada Bronasti zvezdni svetlobi. SecureWorks meni, da so dejavnosti akterjev groženj prilagojene tudi kraji IP in kibernetskemu vohunjenju.

Tarče se razlikujejo glede na to, katere informacije skušajo pridobiti kibernetski kriminalci. Med žrtvami so brazilska farmacevtska podjetja, ameriška medijska hiša, japonski proizvajalci ter vesoljski in obrambni oddelek velike indijske organizacije.

SEE: Napadi izsiljevalne programske opreme: to so podatki, ki jih kibernetski kriminalci resnično želijo ukrasti

Ta skupina je od obeh še bolj zanimiva, saj uvaja pet različnih vrst izsiljevalske programske opreme po izkoriščanju: LockFile, AtomSilo, Rook, Night Sky in Pandora. Nalagalnik se uporablja za namestitev svetilnikov Cobalt Strike med kampanjami, ki ustvarijo oddaljeno povezavo, nato pa se izvede paket izsiljevalske programske opreme.

CTU pravi, da so akterji groženj razvili svoje različice izsiljevalske programske opreme iz dveh različnih kodnih baz: ene za LockFile in AtomSilo ter druge za Rook, Night Sky in Pandora.

»Glede na vrstni red, v katerem so se te družine izsiljevalskih programov pojavile od sredine leta 2021, so akterji groženj verjetno najprej razvili LockFile in AtomSilo ter nato razvili Rook, Night Sky in Pandora,« pravi ekipa.

Avast je izdal a dekriptor za LockFile in AtomSilo. Ko gre za druge različice izsiljevalske programske opreme, se zdi, da vse temeljijo na izvorni kodi Babuk.

Pred kratkim je bil posodobljen tudi nakladalnik. Marca so raziskovalci kibernetske varnosti našli novo različico HUI Loaderja, ki uporablja šifre RC4 za dešifriranje tovora. Nalagalnik zdaj prav tako uporablja izboljšano kodo zamegljevanja, da poskusi in onemogoči sledenje dogodkom sistema Windows za Windows (ETW), preverjanja vmesnika za skeniranje proti zlonamerni programski opremi (AMSI) in posega v klice Windows API.

»Čeprav skupine, ki jih sponzorira kitajska vlada, v preteklosti niso uporabljale izsiljevalske programske opreme, obstaja precedens v drugih državah,« pravi SecureWorks. »Nasprotno pa bi skupine, ki jih sponzorira kitajska vlada in uporabljajo izsiljevalsko programsko opremo kot motnjo, verjetno povzročile, da bi bila dejavnost podobna finančno motiviranim uvedbam izsiljevalske programske opreme. Vendar pa kombinacija viktimologije in prekrivanja z infrastrukturo in orodji, povezanimi z dejavnostmi groženjskih skupin, ki jih sponzorira vlada, kaže, da bi lahko Bronze Starlight uporabil izsiljevalsko programsko opremo, da bi prikril svoje kibernetsko vohunjenje.«

Prejšnja in s tem povezana pokritost

Imate nasvet? Varno stopite v stik prek WhatsApp | Signal na +447713 025 499 ali več na Keybase: charlie0