Ang mga hacker na ito ay nagkakalat ng ransomware bilang isang distraction – upang itago ang kanilang cyber spying

Ang isang grupo ng malamang na back-back ng estado na mga cyber attacker ay nagpatibay ng isang bagong loader upang maikalat ang limang iba't ibang uri ng ransomware sa isang bid na itago ang kanilang mga tunay na aktibidad ng espiya.

Noong Huwebes, inilathala ng mga mananaliksik sa cybersecurity mula sa Secureworks bagong pananaliksik sa HUI Loader, isang malisyosong tool na malawakang ginagamit ng mga kriminal mula noong 2015.

Ang mga loader ay maliliit, malisyosong pakete na idinisenyo upang manatiling hindi natukoy sa isang nakompromisong makina. Bagama't kadalasang walang gaanong functionality bilang independiyenteng malware, mayroon silang isang mahalagang gawain: mag-load at magsagawa ng mga karagdagang nakakahamak na payload.

TINGNAN: Ang phishing gang na nagnakaw ng milyun-milyon sa pamamagitan ng pang-akit sa mga biktima sa mga pekeng website ng bangko ay sinira ng pulisya

HUI Loader ay isang custom na DLL loader na maaaring i-deploy ng na-hijack na mga lehitimong software program na madaling kapitan ng DLL search order hijacking. Kapag naisakatuparan, ang loader ay magde-deploy at magde-decrypt ng file na naglalaman ng pangunahing malware payload.

Noong nakaraan, ang HUI Loader ay ginamit sa mga kampanya ng mga pangkat kabilang ang APT10/Bronse Riverside – konektado sa Chinese Ministry of State Security (MSS) – at Asul na anay. Ang mga grupo ay nag-deploy ng remote access trojans (RATs) kabilang ang SodaMaster, PlugX, at QuasarRAT sa mga nakaraang campaign.

Ngayon, lumilitaw na ang loader ay inangkop upang maikalat ang ransomware.

Ayon sa pangkat ng pagsasaliksik ng Counter Threat Unit (CTU) ng Secureworks, dalawang kumpol ng aktibidad na nauugnay sa HUI Loader ang konektado sa mga aktor na banta na nagsasalita ng Chinese.

Ang unang kumpol ay pinaghihinalaang gawa ng Bronze Riverside. Nakatuon ang hacking group na ito sa pagnanakaw ng mahalagang intelektwal na ari-arian mula sa mga organisasyong Japanese at ginagamit ang loader para isagawa ang SodaMaster RAT.

Ang pangalawa, gayunpaman, ay kabilang sa Bronze Starlight. Naniniwala ang SecureWorks na ang mga aktibidad ng mga banta ng aktor ay iniayon din para sa pagnanakaw ng IP at cyber espionage.

Nag-iiba-iba ang mga target depende sa kung anong impormasyon ang sinusubukang makuha ng mga cyber criminal. Kabilang sa mga biktima ang mga kumpanyang parmasyutiko sa Brazil, isang US media outlet, mga tagagawa ng Hapon, at ang aerospace at defense division ng isang pangunahing organisasyong Indian.

TINGNAN: Pag-atake ng Ransomware: Ito ang data na talagang gustong nakawin ng mga cyber criminal

Ang pangkat na ito ay mas kawili-wili sa dalawa dahil nag-deploy sila ng limang magkakaibang uri ng ransomware post-exploit: LockFile, AtomSilo, Rook, Night Sky, at Pandora. Ginagamit ang loader para mag-deploy ng mga Cobalt Strike beacon sa panahon ng mga campaign, na gumagawa ng malayuang koneksyon, at pagkatapos ay isang ransomware package ang ipapatupad.

Sinasabi ng CTU na binuo ng mga banta ng aktor ang kanilang mga bersyon ng ransomware mula sa dalawang natatanging base ng code: isa para sa LockFile at AtomSilo, at isa para sa Rook, Night Sky, at Pandora.

"Batay sa pagkakasunud-sunod kung saan lumitaw ang mga pamilyang ransomware na ito simula sa kalagitnaan ng 2021, malamang na unang binuo ng mga banta ng aktor ang LockFile at AtomSilo at pagkatapos ay binuo ang Rook, Night Sky, at Pandora," sabi ng team.

Ang Avast ay naglabas ng isang decryptor para sa LockFile at AtomSilo. Pagdating sa iba pang variant ng ransomware, lumalabas na lahat sila ay nakabatay sa Babuk source code.

Ang loader ay na-update din kamakailan. Noong Marso, nakahanap ang mga mananaliksik ng cybersecurity ng bagong bersyon ng HUI Loader na gumagamit ng RC4 ciphers para i-decrypt ang payload. Gumagamit na rin ngayon ang loader ng pinahusay na obfuscation code upang subukan at i-disable ang Windows Event Tracing para sa Windows (ETW), mga pagsusuri sa Antimalware Scan Interface (AMSI), at pakialaman ang mga tawag sa Windows API.

"Bagama't ang mga grupong itinataguyod ng gobyerno ng China ay hindi ginamit sa kasaysayan ang ransomware, mayroong pamarisan sa ibang mga bansa," sabi ng SecureWorks. “Sa kabaligtaran, ang mga grupong itinataguyod ng gobyerno ng China na gumagamit ng ransomware bilang isang distraction ay malamang na gagawing ang aktibidad ay kahawig ng financially motivated ransomware deployment. Gayunpaman, ang kumbinasyon ng victimology at ang overlap sa imprastraktura at tool na nauugnay sa aktibidad ng grupong pagbabanta na inisponsor ng gobyerno ay nagpapahiwatig na ang Bronze Starlight ay maaaring mag-deploy ng ransomware upang itago ang aktibidad ng cyberespionage nito."

Nakaraan at nauugnay na saklaw

May tip? Makipag-ugnay sa ligtas sa pamamagitan ng WhatsApp | Pag-sign sa +447713 025 499, o higit sa Keybase: charlie0