Китайские хакеры используют шифровальщики в качестве ширмы для шпионажа - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Китайские хакеры используют шифровальщики в качестве ширмы для шпионажа - «Новости»

✔Китайские хакеры используют шифровальщики в качестве ширмы для шпионажа - «Новости»

27 июня 2022 534 Новости / Вёрстка / Текст / Изображения / Отступы и поля 0

Эксперты Secureworks выяснили, что сразу две китайские хак-группы, специализирующиеся на шпионаже и хищении интеллектуальной собственности у японских и западных компаний, используют программы-вымогатели для сокрытия своих действий.





Аналитики пишут, что использование вымогателей в шпионских кампаниях позволяет скрыть следы, усложнить атрибуцию атак и отвлекает внимание ИТ-специалистов компании-жертвы. К тому же, таким образом кража конфиденциальной информации маскируется под финансово мотивированные атаки.


Подобную маскировку практикуют группы Bronze Riverside (APT41) и Bronze Starlight (APT10). И те и другие применяют загрузчик HUI для развертывания троянов удаленного доступа, PlugX, Cobalt Strike и QuasarRAT.


По данным исследователей, начиная с марта 2022 года группа Bronze Starlight использовала Cobalt Strike для развертывания шифровальщиков (в том числе LockFile, AtomSilo, Rook, Night Sky и Pandora) в сетях своих жертв. В этих атаках  также использовалась новая версия загрузчика HUI, которая способна перехватывать вызовы Windows API и отключать Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI).


«Исходя из порядка появления этих семейств вымогателей, начиная с середины 2021 года, злоумышленники, вероятно, сначала разработали LockFile и AtomSilo, а затем перешли к Rook, Night Sky и Pandora», — говорят эксперты.


Изучение конфигурации маяков Cobalt Strike в трех различных атаках с применением малвари AtomSilo, Night Sky и Pandora позволило выявить общий для них адрес управляющего сервера. Также отмечается, что в этом году тот же источник использовался для загрузки образцов загрузчика HUI на Virus Total.


Отмечается, что в изученных случаях активность LockFile, AtomSilo, Rook, Night Sky и Pandora  была необычной, если сравнивать с рядовыми атаками финансово мотивированных вымогателей. Так, атаки были нацеленных на небольшое количество жертв, длились короткий период времени, а затем хакеры полностью отказывались от проекта и переходили к следующему.





Secureworks пишет, что у Pandora и последней версией загрузчика HUI есть сходства кода. LockFile и AtomSilo тоже выглядят похожими, тогда как Night Sky, Pandora и Rook основаны на исходном коде малвари Babuk, но тоже имеют немало общего.





Эксперты резюмируют, что Bronze Starlight явно без труда создает недолговечные варианты вымогательской малвари, которые нужны лишь для того, чтобы маскировать шпионские операции под атаки программ-вымогателей и усложнять атрибуцию. Дело в том, что изученные шифровальщики основаны на общедоступном или утекшем исходном коде, а китайские хакеры известны тем, что охотно делятся друг с другом инструментами и инфраструктурой. То есть в таких случаях крайне трудно отследить атрибуцию, возможные связи и с уверенностью говорить о каких-то выводах.


Эксперты Secureworks выяснили, что сразу две китайские хак-группы, специализирующиеся на шпионаже и хищении интеллектуальной собственности у японских и западных компаний, используют программы-вымогатели для сокрытия своих действий. Аналитики пишут, что использование вымогателей в шпионских кампаниях позволяет скрыть следы, усложнить атрибуцию атак и отвлекает внимание ИТ-специалистов компании-жертвы. К тому же, таким образом кража конфиденциальной информации маскируется под финансово мотивированные атаки. Подобную маскировку практикуют группы Bronze Riverside (APT41) и Bronze Starlight (APT10). И те и другие применяют загрузчик HUI для развертывания троянов удаленного доступа, PlugX, Cobalt Strike и QuasarRAT. По данным исследователей, начиная с марта 2022 года группа Bronze Starlight использовала Cobalt Strike для развертывания шифровальщиков (в том числе LockFile, AtomSilo, Rook, Night Sky и Pandora) в сетях своих жертв. В этих атаках также использовалась новая версия загрузчика HUI, которая способна перехватывать вызовы Windows API и отключать Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI). «Исходя из порядка появления этих семейств вымогателей, начиная с середины 2021 года, злоумышленники, вероятно, сначала разработали LockFile и AtomSilo, а затем перешли к Rook, Night Sky и Pandora», — говорят эксперты. Изучение конфигурации маяков Cobalt Strike в трех различных атаках с применением малвари AtomSilo, Night Sky и Pandora позволило выявить общий для них адрес управляющего сервера. Также отмечается, что в этом году тот же источник использовался для загрузки образцов загрузчика HUI на Virus Total. Отмечается, что в изученных случаях активность LockFile, AtomSilo, Rook, Night Sky и Pandora была необычной, если сравнивать с рядовыми атаками финансово мотивированных вымогателей. Так, атаки были нацеленных на небольшое количество жертв, длились короткий период времени, а затем хакеры полностью отказывались от проекта и переходили к следующему. Secureworks пишет, что у Pandora и последней версией загрузчика HUI есть сходства кода. LockFile и AtomSilo тоже выглядят похожими, тогда как Night Sky, Pandora и Rook основаны на исходном коде малвари Babuk, но тоже имеют немало общего. Эксперты резюмируют, что Bronze Starlight явно без труда создает недолговечные варианты вымогательской малвари, которые нужны лишь для того, чтобы маскировать шпионские операции под атаки программ-вымогателей и усложнять атрибуцию. Дело в том, что изученные шифровальщики основаны на общедоступном или утекшем исходном коде, а китайские хакеры известны тем, что охотно делятся друг с другом инструментами и инфраструктурой. То есть в таких случаях крайне трудно отследить атрибуцию, возможные связи и с уверенностью говорить о каких-то выводах.
CSS
запостил(а)
White
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: