Ομάδες κυβερνοκατασκοπείας χρησιμοποιούν
ransomware
ω
ς τακτική για να κάνουν την απόδοση επίθεσης πιο δύσκολη, να αποσπούν την προσοχή των υπερασπιστών ή για μια οικονομική ανταμοιβή ως δευτερεύοντα στόχο στην κλοπή δεδομένων.
Μια κοινή έκθεση από τους αναλυτές SentinelLabs και Recorded Future παρουσιάζει την περίπτωση του ChamelGang, μιας ύποπτης κινεζικής προηγμένης επίμονης απειλής (APT) που χρησιμοποιεί το στέλεχος ransomware CatB σε επιθέσεις που επηρεάζουν οργανισμούς υψηλού προφίλ σε όλο τον κόσμο.
Ένα ξεχωριστό σύμπλεγμα δραστηριοτήτων χρησιμοποιεί το BestCrypt και το Microsoft
BitLocker
για την επίτευξη παρόμοιων στόχων, αν και η απόδοση δεν είναι σαφής.
Στόχευση ChamelGang
Το ChamelGang είναι επίσης γνωστό ως CamoFei και έχει στοχεύσει κυβερνητικούς οργανισμούς και οντότητες υποδομής ζωτικής σημασίας μεταξύ 2021 και 2023.
Η ομάδα χρησιμοποιεί εξελιγμένες τεχνικές για να αποκτήσει αρχική πρόσβαση, για αναγνώριση και πλευρική κίνηση και για να εξάγει ευαίσθητα δεδομένα.
Σε μια επίθεση τον Νοέμβριο του 2022, οι παράγοντες της απειλής στόχευσαν την Προεδρία της Βραζιλίας και παραβίασαν 192 υπολογιστές. Ο αντίπαλος βασίστηκε σε τυπικά εργαλεία αναγνώρισης για τη χαρτογράφηση του δικτύου και τη συλλογή πληροφοριών για κρίσιμα συστήματα.
Στο τελευταίο στάδιο της επίθεσης, ο ChamelGang ανέπτυξε το CatB ransomware στο δίκτυο, ρίχνοντας σημειώσεις λύτρων στην αρχή κάθε κρυπτογραφημένου αρχείου. Έδωσαν μια διεύθυνση ProtonMail για επικοινωνία και μια διεύθυνση
Bitcoin
για πληρωμή.
Σημείωμα λύτρων CatB
Πηγή: SentinelLabs
Η επίθεση αρχικά αποδόθηκε στην TeslaCrypt, αλλά τα SentinelLabs και Recorded Future παρουσιάζουν νέα στοιχεία που δείχνουν τον ChamelGang.
Κατά τη διάρκεια ενός άλλου περιστατικού στα τέλη του 2022, ο ChamelGang παραβίασε το πανεπιστήμιο και το νοσοκομείο της Ιατρικής Έρευνας στο Ινστιτούτο Ιατρικών Επιστημών (AIMS). Ο ηθοποιός της απειλής χρησιμοποίησε για άλλη μια φορά ransomware CatB, προκαλώντας μεγάλες διακοπές στις υπηρεσίες υγειονομικής περίθαλψης.
Οι ερευνητές πιστεύουν ότι δύο άλλες επιθέσεις, εναντίον μιας κυβερνητικής οντότητας στην Ανατολική
Ασία
και ενός αεροπορικού οργανισμού στην ινδική υποήπειρο είναι επίσης έργο της ChamelGang, βασισμένες στη χρήση γνωστών TTP, δημοσίως διαθέσιμων εργαλείων που παρατηρήθηκαν σε προηγούμενες δεσμεύσεις και στο προσαρμοσμένο κακόβουλο λογισμικό τους. BeaconLoader.
BestCrypt και BitLocker
Ένα ξεχωριστό σύμπλεγμα δραστηριοτήτων που εντοπίστηκε από το SentinelLabs και το Recorded Future κρυπτογραφεί αρχεία χρησιμοποιώντας το Jetico BestCrypt και το Microsoft BitLocker αντί για ransomware CatB.
ο
λένε οι ερευνητές
ότι αυτές οι εισβολές επηρέασαν 37 οργανισμούς, οι περισσότεροι από αυτούς στη Βόρεια Αμερική. Άλλα θύματα ήταν στη Νότια Αμερική και την Ευρώπη.
Συγκρίνοντας στοιχεία σε αναφορές από άλλες εταιρείες κυβερνοασφάλειας, οι ερευνητές ανακάλυψαν επικαλύψεις με προηγούμενες εισβολές που συνδέονται με ύποπτα κινεζικά και βορειοκορεατικά APT.
Οι εισβολές που τροφοδοτούνται από το BestCrypt και το BitLocker εντοπίστηκαν υπερωρίες
Πηγή: SentinelLabs
Συνήθως, το BestCrypt χρησιμοποιήθηκε για τη στόχευση τερματικών σημείων διακομιστή με τρόπο αυτοματοποιημένης, σειριακής κρυπτογράφησης, ενώ το BitLocker αναπτύχθηκε σε σταθμούς εργασίας, με μοναδικούς κωδικούς πρόσβασης ανάκτησης που χρησιμοποιούνται σε κάθε περίπτωση.
Οι επιτιθέμενοι χρησιμοποίησαν επίσης το κέλυφος ιστού China Chopper, μια προσαρμοσμένη παραλλαγή του εργαλείου miPing, και χρησιμοποίησαν τους ελεγκτές τομέα Active Directory (DC) ως βάση.
Οι αναλυτές αναφέρουν ότι αυτές οι επιθέσεις διήρκεσαν εννέα ημέρες κατά μέσο όρο, ενώ ορισμένες είχαν μικρή διάρκεια μόλις μερικές ώρες, υποδηλώνοντας εξοικείωση με το στοχευμένο περιβάλλον.
Ένας λόγος για τη συμμετοχή ransomware σε επιθέσεις κυβερνοκατασκοπείας θα μπορούσε να είναι ότι παρέχει στρατηγικά και λειτουργικά οφέλη που θολώνουν τα όρια μεταξύ APT και κυβερνοεγκληματικής δραστηριότητας, γεγονός που μπορεί να οδηγήσει σε εσφαλμένη απόδοση ή ως μέσο απόκρυψης της φύσης συλλογής δεδομένων της επιχείρησης.
Η απόδοση προηγούμενων περιστατικών ransomware σε έναν παράγοντα απειλών κυβερνοκατασκοπείας ως ChamelGang είναι νέα και δείχνει ότι οι αντίπαλοι αλλάζουν τακτικές για να καλύψουν τα ίχνη τους ενώ εξακολουθούν να επιτυγχάνουν τους στόχους τους.
VIA:
bleepingcomputer.com
0