Cinco cepas de ransomware foram associadas às atividades do Bronze Starlight.

 Um grupo de prováveis ​​ciberataques apoiados pelo estado adotou um novo carregador para espalhar cinco tipos diferentes de ransomware em uma tentativa de ocultar suas verdadeiras atividades de espionagem.

Na quinta-feira, pesquisadores de segurança cibernética da Secureworks publicaram uma nova pesquisa sobre o HUI Loader, uma ferramenta maliciosa que os criminosos usam amplamente desde 2015.

Os carregadores são pacotes pequenos e maliciosos projetados para permanecer indetectáveis ​​em uma máquina comprometida. Embora muitas vezes não tenham muita funcionalidade como malware independente, eles têm uma tarefa crucial: carregar e executar cargas maliciosas adicionais.

O HUI Loader é um carregador de DLL personalizado que pode ser implantado por programas de software legítimos sequestrados suscetíveis ao seqüestro de ordem de pesquisa de DLL. Uma vez executado, o carregador implantará e descriptografará um arquivo contendo a carga útil principal do malware.

No passado, o HUI Loader foi usado em campanhas de grupos como o APT10/ Bronze Riverside – ligado ao Ministério de Segurança do Estado (MSS) chinês – e o Blue Termite . Os grupos implantaram trojans de acesso remoto (RATs), incluindo SodaMaster, PlugX e QuasarRAT em campanhas anteriores.

Agora, parece que o carregador foi adaptado para espalhar ransomware.

De acordo com a equipe de pesquisa da Counter Threat Unit (CTU) da Secureworks, dois clusters de atividades relacionados ao HUI Loader foram conectados a agentes de ameaças que falam chinês.

Suspeita-se que o primeiro aglomerado seja obra de Bronze Riverside. Este grupo de hackers se concentra em roubar propriedade intelectual valiosa de organizações japonesas e usa o carregador para executar o SodaMaster RAT.

A segunda, no entanto, pertence a Bronze Starlight. A SecureWorks acredita que as atividades dos agentes de ameaças também são adaptadas para roubo de IP e espionagem cibernética.

Os alvos variam dependendo de quais informações os criminosos cibernéticos estão tentando obter. As vítimas incluem empresas farmacêuticas brasileiras, um meio de comunicação dos EUA, fabricantes japoneses e a divisão aeroespacial e de defesa de uma grande organização indiana.

Este grupo é o mais interessante dos dois, pois implanta cinco tipos diferentes de pós-exploração de ransomware: LockFile, AtomSilo, Rook, Night Sky e Pandora. O carregador é usado para implantar beacons Cobalt Strike durante as campanhas, que criam uma conexão remota e, em seguida, um pacote de ransomware é executado.

A CTU diz que os agentes de ameaças desenvolveram suas versões do ransomware a partir de duas bases de código distintas: uma para LockFile e AtomSilo e outra para Rook, Night Sky e Pandora.

“Com base na ordem em que essas famílias de ransomware apareceram a partir de meados de 2021, os agentes de ameaças provavelmente desenvolveram o LockFile e o AtomSilo e depois desenvolveram Rook, Night Sky e Pandora”, diz a equipe.

A Avast lançou um decodificador para LockFile e AtomSilo. Quando se trata de outras variantes de ransomware, parece que todas são baseadas no código-fonte do Babuk .

O carregador também foi atualizado recentemente. Em março, os pesquisadores de segurança cibernética encontraram uma nova versão do HUI Loader que usa cifras RC4 para descriptografar a carga útil. O carregador agora também utiliza código de ofuscação aprimorado para tentar desabilitar o rastreamento de eventos do Windows para Windows (ETW), verificações de interface de verificação antimalware (AMSI) e adulterar chamadas de API do Windows.

“Embora grupos patrocinados pelo governo chinês não tenham usado ransomware historicamente, há precedentes em outros países”, diz SecureWorks. "Por outro lado, grupos patrocinados pelo governo chinês usando ransomware como uma distração provavelmente fariam a atividade se assemelhar a implantações de ransomware motivadas financeiramente. implantar ransomware para ocultar sua atividade de ciberespionagem."

Fonte:ZDnet