Charoni lunavara
Küberjulgeolekueksperdid on paljastanud uue lunavarakampaania, mis kasutab seni tundmatut tüve nimega Charon ja on suunatud spetsiaalselt Lähis-Ida avalikule sektorile ja lennundussektorile. Operatsioon on väga keerukas ja taktikat seostatakse tavaliselt edasijõudnud püsiva ohu (APT) tegijatega.
Sisukord
APT Playbooksist taktika laenamine
Ründajad kasutasid täiustatud tehnikaid, nagu DLL-i külglaadimine, protsesside süstimine ja kõrvalehoidmismanöövrid, mis olid loodud lõpp-punkti tuvastamise ja reageerimise (EDR) tööriistade möödahiilimiseks. Tähelepanuväärne on see, et DLL-i külglaadimise lähenemisviis peegeldab meetodeid, mida on täheldatud Earth Baxia rünnakutes. See on Hiinaga seotud häkkerirühmitus, mis on tuntud Taiwani ja Aasia ja Vaikse ookeani piirkonna valitsusasutuste sihtimise poolest.
Varasemates intsidentides oli Earth Baxia ära kasutanud OSGeo GeoServer GeoToolsi nüüdseks parandatud viga, et luua tagauks nimega EAGLEDOOR. Charoni juhtumi puhul kasutati rünnakus legitiimset faili Edge.exe (algselt cookie_exporter.exe), et laadida pahatahtlik msedge.dll, mida tuntakse kui SWORDLDR, mis seejärel käivitas Charoni lunavara.
Charoni lunavara võimalused
Pärast juurutamist käitub Charon nagu teisedki hävitavad lunavara variandid, kuid optimeeritud nii, et see on nii häiriv kui ka tõhus. See suudab:
- Lõpetage turvalisusega seotud teenused ja aktiivsed protsessid.
- Taastamise takistamiseks kustutage varukoopiad ja varikoopiad.
- Failide kiiremaks lukustamiseks kasutage mitmekeermelist ja osalist krüptimist.
Teine huvitav omadus on avatud lähtekoodiga Dark-Kill projektist kompileeritud draiveri lisamine. See võimaldab EDR-tööriistade keelamiseks kasutada omaenda haavatava draiveri (BYOVD) rünnakut. Teadlased leidsid aga, et see funktsioon pole veel aktiivne, mis viitab sellele, et see on alles väljatöötamisel.
Sihipärase operatsiooni märgid
Uurijad usuvad, et see kampaania oli pigem tahtlik kui oportunistlik. See järeldus põhineb lunaraha nõudva märkuse olemasolul, mis mainis ohvri organisatsiooni nimepidi, mis on tüüpiliste lunavarajuhtumite puhul haruldane. Esialgse juurdepääsu meetod on teadmata.
Ebakindel omistamine
Kuigi Charoni tehnikatel on sarnasusi Earth Baxia operatsioonidega, hoiatavad eksperdid, et see kattumine võib viidata järgmisele:
- Maa Baxia otsene seotus.
- Valelipuoperatsioon, mille eesmärk on jäljendada Maa Baxiat.
- Uus grupp arendab iseseisvalt sarnaseid taktikaid.
Ilma selgete tõenditeta, nagu jagatud infrastruktuur või järjepidevad sihtimismustrid, jääb seos spekulatiivseks.
Küberkuritegevuse ja rahvusriikide taktika kasvav lähenemine
See juhtum rõhutab murettekitavat trendi: lunavara rühmitused võtavad sissetungimiseks ja rünnakutest kõrvalehoidmiseks üha enam kasutusele APT-taseme meetodeid. Varjatud kauplemisstrateegiate ja lunavara krüptimise kohese rahalise ja operatiivse kahju kombinatsioon suurendab sihtmärgiks olevate organisatsioonide jaoks oluliselt riske.
