Daha önce bilinmeyen bir tehdit faaliyet kümesi, Avrupa kuruluşlarını, özellikle de sağlık sektöründeyken, PLAGX ve halefi ShadowPad’i dağıtmak için, müdahalelerle sonuçta bazı durumlarda Nailaolocker adı verilen bir fidye yazılımının konuşlandırılmasına yol açtı.
Orange CyberDefense Cert tarafından kodlanan Green Nailao kampanyası, Check Point Network Gateway Güvenlik Ürünlerinde (CVE-2024-24919, CVSS Puanı: 7.5) yeni paketlenmiş bir güvenlik kusurunun kullanılmasını içeriyordu. Saldırılar Haziran ve Ekim 2024 arasında gözlendi.
Şirket, “Kampanya, ShadowPad ve Plugx’u dağıtmak için DLL arama siparişi kaçırmaya dayanıyordu-genellikle Çin-Nexus hedefli müdahalelerle ilişkili iki implant,” söz konusu Hacker News ile paylaşılan bir teknik raporda.
Savunmasız kontrol noktası örneklerinin kullanımı ile sağlanan ilk erişimin, tehdit aktörlerinin kullanıcı kimlik bilgilerini almasına ve meşru bir hesap kullanarak VPN’ye bağlanmasına izin verdiği söylenir.
Bir sonraki aşamada, saldırganlar yüksek ayrıcalıklar elde etmek için uzak masaüstü protokolü (RDP) yoluyla ağ keşif ve yanal hareket gerçekleştirdi, ardından bir haydut ikili (“logger.exe”) bir haydut dll (“logexts.dll” ) Bu daha sonra ShadowPad kötü amaçlı yazılımının yeni bir sürümü için bir yükleyici görevi görür.
Ağustos 2024’te tespit edilen saldırıların önceki yinelemelerinin, “mcutil.dll” yan yüklemek için bir McAfee yürütülebilir (“mcoemcpy.exe”) kullanarak DLL yan yükleme kullanan Plugx sunmak için benzer tradecraft’tan yararlandığı bulunmuştur.
Plugx gibi, ShadowPad de en az 2015’ten beri Çin casusluk aktörleri tarafından sadece kullanılan özel olarak satılan bir kötü amaçlı yazılımdır. Turuncu CyberDefense sertifikası ile tanımlanan varyant, sofistike gizleme ve anti-debug önlemlerine sahiptir, yanı sıra uzak bir sunucu ile iletişim kurmanın yanı sıra, uzak bir sunucu ile iletişim kurmanın yanı sıra, kalıcı bir uzaktan erişim oluşturmak için. kurban sistemleri.
Tehdit aktörlerinin dosya sistemine erişerek ve zip arşivleri oluşturarak verileri sunmaya çalıştıklarını gösteren kanıtlar var. İntelemeler, Nailaoloader (“sensapi.dll”) adlı bir yükleyici olan Pekin Huorong Network Technology Co., Ltd (“Usysdiag.exe”) tarafından imzalanan meşru bir yürütülebilir dosyası olan üç dosyayı iletmek için Windows Management Enstrümantasyonu (WMI) kullanımı ile sonuçlanır. ve Nailaolocker (“Usysdiag.exe.dat”).
Bir kez daha, DLL dosyası “Usysdiag.exe” aracılığıyla, dosyaları şifreleyen, onları “.locked” uzatma ile ekleyen ve kurban talep eden bir fidye notu bırakan C ++ tabanlı bir fidye yazılımı olan Nailaolocker’ın yürütülmesini şifresini çözmek ve tetiklemek için kenar yüklenir. Bitcoin ödemesi yapmak veya bir Proton posta adresinden bunlarla iletişime geçin.
Araştırmacılar Marine Pichon ve Alexis Bonnefoi, “Nailaolocker nispeten sofistike ve kötü tasarlanmış, görünüşte tam şifrelemeyi garanti etmeyi amaçlamıyor.” Dedi.
“Ağ paylaşımlarını taramıyor, bazı önemli dosyaların şifrelemesini önleyebilecek hizmetleri veya süreçleri durdurmaz, [and] Hata ayıklayıp çıkmadığını kontrol etmiyor. “
Orange, ShadowPad implantının kullanımı, DLL yan yükleme tekniklerinin kullanımı ve benzer fidye yazılımı şemalarının bronz olarak adlandırılan başka bir Çin tehdit grubuna atfedildiği gerçeği nedeniyle Çince hizalanmış bir tehdit oyuncusuna orta güvenle ilişkilendirdi. Starlight.
Dahası, “UsysDiag.exe” nin yandan yüklenmesi için kullanımı, daha önce Sophos tarafından izlenen (STAC1248, aka STAC1248), Sophos tarafından izlenen Çin bağlantılı bir izinsiz giriş seti tarafından monte edilen saldırılarda daha önce gözlemlenmiştir.
Casus-cum-Ransomware kampanyasının kesin hedefleri belirsiz olsa da, tehdit aktörlerinin yan tarafta hızlı kar elde etmek istediklerinden şüpheleniliyor.
Araştırmacılar, “Bu, Shadowpad ve Nailaolocker arasındaki sofistike kontrastı açıklamaya yardımcı olabilir, Nailaolocker bazen Shadowpad’in yükleme tekniklerini taklit etmeye çalışır.” Dedi. Diyerek şöyle devam etti: “Bu tür kampanyalar bazen fırsatçı bir şekilde yürütülebilirken, tehdit gruplarının daha sonra diğer saldırı operasyonlarını yürütmek için kullanılabilecek bilgi sistemlerine erişmesine izin verir.”
