Çin merkezli bir gelişmiş kalıcı tehdit (APT) grubu, kampanyalarının arkasındaki gerçek operasyonel ve taktik hedefleri örtbas etmek için muhtemelen kısa ömürlü fidye yazılımı ailelerini bir tuzak olarak kullanıyor.
Adlandırılmış bir bilgisayar korsanlığı grubuna atfedilen etkinlik kümesi bronz yıldız ışığı Secureworks tarafından sağlanan, LockFile, Atom Silo, Rook, Night Sky, Pandora ve LockBit 2.0 gibi izinsiz giriş sonrası fidye yazılımlarının dağıtımını içerir.
Araştırmacılar, “Fidye yazılımı, olaya müdahale edenlerin tehdit aktörlerinin gerçek niyetini belirlemesini engelleyebilir ve kötü niyetli faaliyetin hükümet destekli bir Çin tehdit grubuna atfedilme olasılığını azaltabilir.” söz konusu yeni bir raporda. “Her durumda, fidye yazılımı, görünüşe göre kalıcı olarak, operasyonları durdurmadan önce nispeten kısa bir süre boyunca az sayıda kurbanı hedef alıyor.”
2021’in ortalarından beri aktif olan Bronze Starlight, teknoloji devi, ilk erişimden yük dağıtımına kadar fidye yazılımı saldırı döngüsünün tüm aşamalarında yer aldığını vurgulayarak, ortaya çıkan tehdit kümesi takma adı DEV-0401 altında Microsoft tarafından da izleniyor.
Bir ağa girmek için ilk erişim aracılarından (IAB’ler) erişim satın alan diğer RaaS gruplarının aksine, aktör tarafından yapılan saldırılar, Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence’ı (yeni açıklanan kusur dahil) etkileyen yamalanmamış güvenlik açıklarının kullanımıyla karakterize edilir. ve Apache Log4j.
Ağustos 2021’den bu yana grubun LockFile (Ağustos), Atom Silo (Ekim), Rook (Kasım), Night Sky (Aralık), Pandora (Şubat 2022) ve altı farklı fidye yazılımı türünden geçtiği söyleniyor. en son LockBit 2.0 (Nisan).
Dahası, LockFile ve Atom Silo ile Rook, Night Sky ve Pandora arasında – kaynak kodu Eylül 2021’de sızdırılan Babuk fidye yazılımından türetilen son üçü – ortak bir aktörün çalışmasına işaret eden benzerlikler ortaya çıkarıldı.
“DEV-0401 kendi fidye yazılımı yüklerini koruduğu ve sık sık yeniden markaladığı için, yüke dayalı raporlamada farklı gruplar olarak görünebilir ve bunlara yönelik algılamalardan ve eylemlerden kaçınabilir,” Microsoft kayıt edilmiş geçen ay.
Bronze Starlight’ın bir ağ içinde bir yer edindikten sonra, Cobalt Strike ve Windows Yönetim Araçları kullanma gibi tekniklere güvendiği bilinmektedir (WMI) yanal hareket için, bu ay başlamasına rağmen, grup saldırılarında Kobalt Strike’ı Sliver çerçevesiyle değiştirmeye başladı.
Diğer gözlemlenen ticaret, kullanımı ile ilgilidir. HUI Yükleyici PlugX ve Cobalt Strike Beacons gibi sonraki aşama şifreli yükleri başlatmak için, ikincisi fidye yazılımını teslim etmek için kullanılır, ancak ayrıcalıklı Etki Alanı Yöneticisi kimlik bilgilerini almadan önce değil.
Araştırmacılar, “Cobalt Strike Beacon, Cobalt Strike Beacon yapılandırma bilgileri, C2 altyapısı ve kod çakışmasını yüklemek için HUI Loader’ın kullanılması, aynı tehdit grubunun bu beş fidye yazılımı ailesiyle ilişkili olduğunu gösteriyor” dedi.
ShadowPad’in yanı sıra hem HUI Loader hem de PlugX’in, tarihsel olarak Çin ulus devleti muhalif kolektifleri tarafından kullanılmaya başlanan kötü amaçlı yazılımlar olduğunu ve Bronze Starlight’ın acil parasal faydalardan daha fazla casusluğa yönelik olma olasılığına güvendiğini belirtmekte fayda var.
Bunun da ötesinde, farklı fidye yazılımı türlerini kapsayan mağduriyet modeli, hedeflerin çoğunun, uzun vadeli istihbarat toplamaya odaklanan Çin hükümeti tarafından desteklenen grupların daha fazla ilgisini çekeceğini gösteriyor.
Başlıca kurbanlar arasında Brezilya ve ABD’deki ilaç şirketleri, Çin ve Hong Kong’da ofisleri bulunan ABD merkezli bir medya kuruluşu, Litvanya ve Japonya’daki elektronik bileşen tasarımcıları ve üreticileri, ABD’de bir hukuk firması ve bir havacılık ve savunma bölümü yer alıyor. Hintli bir holding.
Bu amaçla, fidye yazılımı operasyonları, çifte gasp “ad-ve-utanç” şemasının bir parçası olarak verileri sızdırmak için bir araç sağlamanın yanı sıra, tehdit aktörünün kötü niyetli faaliyetlerinin adli kanıtlarını yok etmesine ve veri hırsızlığından dikkat dağıtıcı olarak hareket edin.
Araştırmacılar, “Bronz Starlight’ın fidye yazılımını, fikri mülkiyeti çalmak veya casusluk yapmak gibi temel motivasyonla, finansal kazançtan ziyade bir sis perdesi olarak kullanması makul” dedi.