แฮกเกอร์เหล่านี้กำลังแพร่กระจายแรนซัมแวร์เพื่อเป็นการรบกวน – เพื่อซ่อนการสอดแนมทางไซเบอร์ของพวกเขา

กลุ่มผู้โจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐได้นำตัวโหลดใหม่มาใช้เพื่อกระจายแรนซัมแวร์ห้าประเภทเพื่อซ่อนกิจกรรมจารกรรมที่แท้จริง

เมื่อวันพฤหัสบดี นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Secureworks เผยแพร่ การวิจัยใหม่ บน HUI Loader เครื่องมืออันตรายที่อาชญากรใช้กันอย่างแพร่หลายมาตั้งแต่ปี 2015

Loaders เป็นแพ็คเกจขนาดเล็กที่เป็นอันตรายซึ่งออกแบบมาเพื่อให้ตรวจไม่พบในเครื่องที่ถูกบุกรุก แม้ว่ามักจะขาดฟังก์ชันการทำงานมากมายในฐานะมัลแวร์อิสระ แต่ก็มีงานสำคัญอย่างหนึ่ง: ในการโหลดและดำเนินการเพย์โหลดที่เป็นอันตรายเพิ่มเติม

ดู: แก๊งฟิชชิ่งที่ขโมยเงินนับล้านโดยล่อเหยื่อไปยังเว็บไซต์ธนาคารปลอมถูกตำรวจสลาย

ตัวโหลด HUI เป็นตัวโหลด DLL แบบกำหนดเองที่สามารถใช้งานได้โดยโปรแกรมซอฟต์แวร์ที่ถูกต้องตามกฎหมายที่ถูกแย่งชิงซึ่งอ่อนไหวต่อการจี้คำสั่งค้นหา DLL เมื่อดำเนินการแล้ว ตัวโหลดจะปรับใช้และถอดรหัสไฟล์ที่มีเพย์โหลดหลักของมัลแวร์

ในอดีต HUI Loader ถูกใช้ในแคมเปญโดยกลุ่มต่างๆ รวมถึง APT10/บรอนซ์ ริเวอร์ไซด์ – เชื่อมต่อกับกระทรวงความมั่นคงแห่งรัฐของจีน (MSS) – และ ปลวกสีฟ้า. กลุ่มได้ปรับใช้โทรจันการเข้าถึงระยะไกล (RAT) รวมถึง SodaMaster, PlugX และ QuasarRAT ในแคมเปญก่อนหน้านี้

ตอนนี้ ดูเหมือนว่าตัวโหลดได้ถูกปรับให้เข้ากับการแพร่กระจาย ransomware

ทีมวิจัย Counter Threat Unit (CTU) ของ Secureworks ระบุว่า กลุ่มกิจกรรมสองกลุ่มที่เกี่ยวข้องกับ HUI Loader เชื่อมโยงกับผู้คุกคามที่พูดภาษาจีน

กลุ่มแรกสงสัยว่าเป็นผลงานของบรอนซ์ริเวอร์ไซด์ กลุ่มแฮ็คนี้มุ่งเน้นไปที่การขโมยทรัพย์สินทางปัญญาอันมีค่าจากองค์กรญี่ปุ่น และใช้ตัวโหลดเพื่อดำเนินการ SodaMaster RAT

อย่างที่สองเป็นของ Bronze Starlight SecureWorks เชื่อว่ากิจกรรมของผู้คุกคามนั้นได้รับการปรับแต่งสำหรับการขโมยทรัพย์สินทางปัญญาและการจารกรรมทางไซเบอร์

เป้าหมายแตกต่างกันไปขึ้นอยู่กับข้อมูลที่อาชญากรไซเบอร์พยายามได้รับ เหยื่อผู้เคราะห์ร้าย ได้แก่ บริษัทยาในบราซิล สื่อของสหรัฐฯ ผู้ผลิตญี่ปุ่น และแผนกการบินและอวกาศและการป้องกันองค์กรรายใหญ่ของอินเดีย

ดู: การโจมตีของแรนซัมแวร์: นี่คือข้อมูลที่อาชญากรไซเบอร์ต้องการขโมยจริงๆ

กลุ่มนี้มีความน่าสนใจมากกว่าจากทั้งสองกลุ่ม เนื่องจากพวกเขาปรับใช้แรนซัมแวร์หลังการแสวงประโยชน์ห้าประเภท: LockFile, AtomSilo, Rook, Night Sky และ Pandora ตัวโหลดนี้ใช้เพื่อปรับใช้บีคอน Cobalt Strike ระหว่างแคมเปญ ซึ่งสร้างการเชื่อมต่อระยะไกล จากนั้นจึงเรียกใช้แพ็คเกจแรนซัมแวร์

CTU กล่าวว่าผู้คุกคามได้พัฒนาเวอร์ชันของ ransomware จากสองฐานรหัสที่แตกต่างกัน: หนึ่งสำหรับ LockFile และ AtomSilo และอีกอันสำหรับ Rook, Night Sky และ Pandora

“จากลำดับที่ตระกูล ransomware เหล่านี้ปรากฏขึ้นในช่วงกลางปี ​​2021 ผู้คุกคามน่าจะพัฒนา LockFile และ AtomSilo ก่อนจากนั้นจึงพัฒนา Rook, Night Sky และ Pandora” ทีมงานกล่าว

Avast ได้เปิดตัว ตัวถอดรหัส สำหรับ LockFile และ AtomSilo เมื่อพูดถึงตัวแปรแรนซัมแวร์อื่น ๆ ดูเหมือนว่าทั้งหมดนั้นใช้ซอร์สโค้ดของ Babuk

ตัวโหลดยังได้รับการอัปเดตเมื่อเร็ว ๆ นี้ ในเดือนมีนาคม นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ HUI Loader เวอร์ชันใหม่ที่ใช้การเข้ารหัส RC4 เพื่อถอดรหัสเพย์โหลด ตัวโหลดยังใช้โค้ดที่สร้างความสับสนเพื่อลองและปิดใช้งาน Windows Event Tracing สำหรับ Windows (ETW) การตรวจสอบ Antimalware Scan Interface (AMSI) และขัดขวางการเรียก Windows API

“ในขณะที่กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีนไม่เคยใช้แรนซัมแวร์มาก่อน แต่ก็มีแบบอย่างในประเทศอื่นๆ” SecureWorks กล่าว “ในทางกลับกัน กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีนซึ่งใช้แรนซัมแวร์เป็นสิ่งที่ทำให้ไขว้เขวน่าจะทำให้กิจกรรมคล้ายกับการปรับใช้แรนซัมแวร์ที่มีแรงจูงใจทางการเงิน อย่างไรก็ตาม การรวมกันของเหยื่อวิทยาและการทับซ้อนกับโครงสร้างพื้นฐานและเครื่องมือที่เกี่ยวข้องกับกิจกรรมกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลระบุว่า Bronze Starlight อาจปรับใช้แรนซัมแวร์เพื่อซ่อนกิจกรรมการจารกรรมทางอินเทอร์เน็ต”

ความคุ้มครองก่อนหน้าและที่เกี่ยวข้อง

มีเคล็ดลับ? ติดต่ออย่างปลอดภัยผ่าน WhatsApp | สัญญาณที่ +447713 025 499 ขึ้นไปที่ Keybase: charlie0