04/10/22
Группировка использует разные программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды, согласно Securitylab.
Исследователи из ИБ-компании Sygnia приписали недавно обнаруженную программу-вымогатель Cheerscrypt китайской кибершпионской группировке Emperor Dragonfly, которая также известна как Bronze Starlight (Secureworks) и DEV-0401 (Microsoft).
Emperor Dragonfly развернула open source инструменты, которые были написаны китайскими разработчиками для китайских пользователей. По словам Sygnia, это подтверждает то, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.
Помимо Cheerscrypt за 1 год группировка использовала семейства программ-вымогателей LockFile, AtomSilo, Rook, Night Sky, Pandora и LockBit 2.0 . Secureworks отметила, что Bronze Starlight использует программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды, а основной целью атак является кража интеллектуальной собственности или шпионаж.
Также исследователи предположили, что это проукраинская группировка, поскольку она размещает украинские политические лозунги на своем сайте утечки в даркнете.
Стоит отметить, что основу семейств Rook, Night Sky и Pandora составляет программа Babuk. Цепочки заражения, наблюдаемые на сегодняшний день, используют уязвимость Log4Shell для компрометации серверов VMware Horizon и запуска вредоносных PowerShell скриптов , чтобы доставлять зашифрованный маяк Cobalt Strike.
Эксперты Sygnia также обнаружили 3 дополнительных инструмента на основе Go, развернутых в тандеме с маяком:
- кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud;
- утилиту интернет-прокси iox;
- ПО для туннелирования NPS.
Связи Cheerscrypt с Emperor Dragonfly основаны на сходстве начальных векторов доступа, методов бокового перемещения и развертывания зашифрованного маяка Cobalt Strike с помощью техники боковой загрузки DLL (DLL Sideloading).
