Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Обнаружен возможный оператор новой программы-вымогателя Cheerscrypt

04/10/22

Linux-based ransomware Cheerscrypt Attacks

Группировка использует разные программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды, согласно Securitylab.

Исследователи из ИБ-компании Sygnia приписали недавно обнаруженную программу-вымогатель Cheerscrypt китайской кибершпионской группировке Emperor Dragonfly, которая также известна как Bronze Starlight (Secureworks) и DEV-0401 (Microsoft).

Emperor Dragonfly развернула open source инструменты, которые были написаны китайскими разработчиками для китайских пользователей. По словам Sygnia, это подтверждает то, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.

Помимо Cheerscrypt за 1 год группировка использовала семейства программ-вымогателей LockFile, AtomSilo, Rook, Night Sky, Pandora и LockBit 2.0 . Secureworks отметила, что Bronze Starlight использует программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды, а основной целью атак является кража интеллектуальной собственности или шпионаж.

Также исследователи предположили, что это проукраинская группировка, поскольку она размещает украинские политические лозунги на своем сайте утечки в даркнете.

Стоит отметить, что основу семейств Rook, Night Sky и Pandora составляет программа Babuk. Цепочки заражения, наблюдаемые на сегодняшний день, используют уязвимость Log4Shell для компрометации серверов VMware Horizon и запуска вредоносных PowerShell скриптов , чтобы доставлять зашифрованный маяк Cobalt Strike.

Эксперты Sygnia также обнаружили 3 дополнительных инструмента на основе Go, развернутых в тандеме с маяком:

  • кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud;
  • утилиту интернет-прокси iox;
  • ПО для туннелирования NPS.

Связи Cheerscrypt с Emperor Dragonfly основаны на сходстве начальных векторов доступа, методов бокового перемещения и развертывания зашифрованного маяка Cobalt Strike с помощью техники боковой загрузки DLL (DLL Sideloading).

Темы:ПреступленияВымогателиSygnia
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...