กลุ่มผู้โจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐได้นำตัวโหลดใหม่มาใช้เพื่อกระจายแรนซัมแวร์ห้าประเภทเพื่อซ่อนกิจกรรมจารกรรมที่แท้จริง
เมื่อวันพฤหัสบดี นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Secureworks เผยแพร่ การวิจัยใหม่ บน HUI Loader เครื่องมืออันตรายที่อาชญากรใช้กันอย่างแพร่หลายมาตั้งแต่ปี 2015
Loaders เป็นแพ็คเกจขนาดเล็กที่เป็นอันตรายซึ่งออกแบบมาเพื่อให้ตรวจไม่พบในเครื่องที่ถูกบุกรุก แม้ว่ามักจะขาดฟังก์ชันการทำงานมากมายในฐานะมัลแวร์อิสระ แต่ก็มีงานสำคัญอย่างหนึ่ง: ในการโหลดและดำเนินการเพย์โหลดที่เป็นอันตรายเพิ่มเติม
ดู: แก๊งฟิชชิ่งที่ขโมยเงินนับล้านโดยล่อเหยื่อไปยังเว็บไซต์ธนาคารปลอมถูกตำรวจสลาย
ตัวโหลด HUI เป็นตัวโหลด DLL แบบกำหนดเองที่สามารถใช้งานได้โดยโปรแกรมซอฟต์แวร์ที่ถูกต้องตามกฎหมายที่ถูกแย่งชิงซึ่งอ่อนไหวต่อการจี้คำสั่งค้นหา DLL เมื่อดำเนินการแล้ว ตัวโหลดจะปรับใช้และถอดรหัสไฟล์ที่มีเพย์โหลดหลักของมัลแวร์
ในอดีต HUI Loader ถูกใช้ในแคมเปญโดยกลุ่มต่างๆ รวมถึง APT10/บรอนซ์ ริเวอร์ไซด์ – เชื่อมต่อกับกระทรวงความมั่นคงแห่งรัฐของจีน (MSS) – และ ปลวกสีฟ้า. กลุ่มได้ปรับใช้โทรจันการเข้าถึงระยะไกล (RAT) รวมถึง SodaMaster, PlugX และ QuasarRAT ในแคมเปญก่อนหน้านี้
ตอนนี้ ดูเหมือนว่าตัวโหลดได้ถูกปรับให้เข้ากับการแพร่กระจาย ransomware
ทีมวิจัย Counter Threat Unit (CTU) ของ Secureworks ระบุว่า กลุ่มกิจกรรมสองกลุ่มที่เกี่ยวข้องกับ HUI Loader เชื่อมโยงกับผู้คุกคามที่พูดภาษาจีน
กลุ่มแรกสงสัยว่าเป็นผลงานของบรอนซ์ริเวอร์ไซด์ กลุ่มแฮ็คนี้มุ่งเน้นไปที่การขโมยทรัพย์สินทางปัญญาอันมีค่าจากองค์กรญี่ปุ่น และใช้ตัวโหลดเพื่อดำเนินการ SodaMaster RAT
อย่างที่สองเป็นของ Bronze Starlight SecureWorks เชื่อว่ากิจกรรมของผู้คุกคามนั้นได้รับการปรับแต่งสำหรับการขโมยทรัพย์สินทางปัญญาและการจารกรรมทางไซเบอร์
เป้าหมายแตกต่างกันไปขึ้นอยู่กับข้อมูลที่อาชญากรไซเบอร์พยายามได้รับ เหยื่อผู้เคราะห์ร้าย ได้แก่ บริษัทยาในบราซิล สื่อของสหรัฐฯ ผู้ผลิตญี่ปุ่น และแผนกการบินและอวกาศและการป้องกันองค์กรรายใหญ่ของอินเดีย
ดู: การโจมตีของแรนซัมแวร์: นี่คือข้อมูลที่อาชญากรไซเบอร์ต้องการขโมยจริงๆ
กลุ่มนี้มีความน่าสนใจมากกว่าจากทั้งสองกลุ่ม เนื่องจากพวกเขาปรับใช้แรนซัมแวร์หลังการแสวงประโยชน์ห้าประเภท: LockFile, AtomSilo, Rook, Night Sky และ Pandora ตัวโหลดนี้ใช้เพื่อปรับใช้บีคอน Cobalt Strike ระหว่างแคมเปญ ซึ่งสร้างการเชื่อมต่อระยะไกล จากนั้นจึงเรียกใช้แพ็คเกจแรนซัมแวร์
CTU กล่าวว่าผู้คุกคามได้พัฒนาเวอร์ชันของ ransomware จากสองฐานรหัสที่แตกต่างกัน: หนึ่งสำหรับ LockFile และ AtomSilo และอีกอันสำหรับ Rook, Night Sky และ Pandora
“จากลำดับที่ตระกูล ransomware เหล่านี้ปรากฏขึ้นในช่วงกลางปี 2021 ผู้คุกคามน่าจะพัฒนา LockFile และ AtomSilo ก่อนจากนั้นจึงพัฒนา Rook, Night Sky และ Pandora” ทีมงานกล่าว
Avast ได้เปิดตัว ตัวถอดรหัส สำหรับ LockFile และ AtomSilo เมื่อพูดถึงตัวแปรแรนซัมแวร์อื่น ๆ ดูเหมือนว่าทั้งหมดนั้นใช้ซอร์สโค้ดของ Babuk
ตัวโหลดยังได้รับการอัปเดตเมื่อเร็ว ๆ นี้ ในเดือนมีนาคม นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ HUI Loader เวอร์ชันใหม่ที่ใช้การเข้ารหัส RC4 เพื่อถอดรหัสเพย์โหลด ตัวโหลดยังใช้โค้ดที่สร้างความสับสนเพื่อลองและปิดใช้งาน Windows Event Tracing สำหรับ Windows (ETW) การตรวจสอบ Antimalware Scan Interface (AMSI) และขัดขวางการเรียก Windows API
“ในขณะที่กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีนไม่เคยใช้แรนซัมแวร์มาก่อน แต่ก็มีแบบอย่างในประเทศอื่นๆ” SecureWorks กล่าว “ในทางกลับกัน กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีนซึ่งใช้แรนซัมแวร์เป็นสิ่งที่ทำให้ไขว้เขวน่าจะทำให้กิจกรรมคล้ายกับการปรับใช้แรนซัมแวร์ที่มีแรงจูงใจทางการเงิน อย่างไรก็ตาม การรวมกันของเหยื่อวิทยาและการทับซ้อนกับโครงสร้างพื้นฐานและเครื่องมือที่เกี่ยวข้องกับกิจกรรมกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลระบุว่า Bronze Starlight อาจปรับใช้แรนซัมแวร์เพื่อซ่อนกิจกรรมการจารกรรมทางอินเทอร์เน็ต”
มีเคล็ดลับ? ติดต่ออย่างปลอดภัยผ่าน WhatsApp | สัญญาณที่ +447713 025 499 ขึ้นไปที่ Keybase: charlie0