Charon Ransomware
Експерти по киберсигурност разкриха нова кампания за рансъмуер, използваща досега неизвестен щам, наречен Charon, насочен специално към публичния сектор и авиационната индустрия в Близкия изток. Операцията показва високо ниво на сложност, с тактики, обикновено свързани с участници в атака с напреднали постоянни заплахи (APT).
Съдържание
Заемане на тактики от APT Playbooks
Нападателите са използвали усъвършенствани техники като странично зареждане на DLL, инжектиране на процеси и маневри за избягване, предназначени да заобиколят инструментите за откриване и реагиране в крайни точки (EDR). Забележително е, че подходът за странично зареждане на DLL отразява методите, наблюдавани при атаки от Earth Baxia, свързана с Китай хакерска група, известна с насочването си към правителствени организации в Тайван и Азиатско-тихоокеанския регион.
В тези минали инциденти, Earth Baxia използва вече поправен недостатък в OSGeo GeoServer GeoTools, за да достави задна вратичка, наречена EAGLEDOOR. В случая с Charon, атаката използва легитимен файл, Edge.exe (първоначално cookie_exporter.exe), за да зареди злонамерен msedge.dll, известен като SWORDLDR, който след това разгръща полезния товар на рансъмуер вируса Charon.
Възможности на рансъмуера Charon
Веднъж внедрен, Charon се държи като други разрушителни варианти на ransomware, но с оптимизации, които го правят едновременно разрушителен и ефикасен. Той може:
- Прекратете услугите, свързани със сигурността, и активните процеси.
- Изтрийте резервни копия и скрити копия, за да възпрепятствате възстановяването.
- Използвайте многонишково четене и частично криптиране за по-бързо заключване на файлове.
Друга интересна функция е включването на драйвер, компилиран от проекта с отворен код Dark-Kill. Това позволява атака „използване на собствен уязвим драйвер“ (BYOVD), за да се деактивират EDR инструментите. Изследователите обаче установиха, че тази възможност все още не е активна, което предполага, че все още е в процес на разработка.
Признаци на целенасочена операция
Разследващите смятат, че тази кампания е била умишлена, а не опортюнистична. Това заключение се основава на наличието на бележка за откуп, персонализирана така, че да споменава името на организацията-жертва, което е рядкост при типични инциденти с ransomware. Методът, използван за първоначален достъп, остава неизвестен.
Несигурно приписване
Въпреки че техниките на Харон споделят сходства с операциите на земния Баксия, експертите предупреждават, че това припокриване може да показва:
- Пряко участие на Земята Баксия.
- Операция под фалшив флаг, предназначена да имитира Земя Баксия.
- Нова група, независимо разработваща подобни тактики.
Без ясни доказателства, като споделена инфраструктура или последователни модели на насочване, връзката остава спекулативна.
Нарастващото сближаване на киберпрестъпността и тактиките на национално-държавните отношения
Този инцидент подчертава тревожна тенденция: групите за рансъмуер все по-често използват методи от ниво APT за проникване и избягване на атаки. Съчетанието от скрита търговия с непосредствените финансови и оперативни щети от рансъмуер криптирането значително повишава залозите за целевите организации.
