Charonin kiristysohjelma
Kyberturvallisuusasiantuntijat ovat paljastaneet uuden kiristyshaittaohjelmakampanjan, joka hyödyntää aiemmin tuntematonta Charon-nimistä viruskantaa ja on suunnattu erityisesti Lähi-idän julkiselle sektorille ja ilmailualalle. Operaatio on erittäin hienostunut, ja taktiikat yhdistetään tyypillisesti edistyneiden jatkuvien uhkien (APT) toimijoihin.
Sisällysluettelo
Lainaa taktiikoita APT Playbooksista
Hyökkääjät käyttivät edistyneitä tekniikoita, kuten DLL-sivulatausta, prosessien injektointia ja väistöliikkeitä, joiden tarkoituksena oli ohittaa päätepisteiden tunnistus- ja reagointityökalut (EDR). Merkillepantavaa on, että DLL-sivulatausmenetelmä heijastaa menetelmiä, joita on havaittu Earth Baxian hyökkäyksissä. Earth Baxia on Kiinaan kytköksissä oleva hakkeriryhmä, joka tunnetaan Taiwanin ja Aasian ja Tyynenmeren alueen valtion yksiköihin kohdistuneista iskuistaan.
Näissä aiemmissa tapauksissa Earth Baxia oli hyödyntänyt OSGeo GeoServer GeoToolsin nyttemmin korjattua haavoittuvuutta ja toimittanut EAGLEDOOR-nimisen takaportin. Charonin tapauksessa hyökkäys käytti laillista Edge.exe-tiedostoa (alkuperäinen cookie_exporter.exe) ladatakseen haitallisen msedge.dll-tiedoston nimeltä SWORDLDR, joka sitten käynnisti Charonin kiristyshaittaohjelman.
Charon-kiristysohjelman ominaisuudet
Asennettuaan Charon toimii kuten muutkin tuhoisat kiristyshaittaohjelmien variantit, mutta optimoinneillaan se on sekä häiritsevä että tehokas. Se voi:
- Lopeta tietoturvaan liittyvät palvelut ja aktiiviset prosessit.
- Poista varmuuskopiot ja tilannevedokset, jotta palautuminen vaikeutuu.
- Käytä monisäikeisyyttä ja osittaista salausta tiedostojen lukitsemisen nopeuttamiseksi.
Toinen mielenkiintoinen ominaisuus on avoimen lähdekoodin Dark-Kill-projektista käännetty ajuri. Tämä mahdollistaa oman haavoittuvan ajurin (BYOVD) hyökkäyksen, jolla EDR-työkalut voidaan poistaa käytöstä. Tutkijat kuitenkin havaitsivat, että tämä ominaisuus ei ole vielä aktiivinen, mikä viittaa siihen, että se on vielä kehitysvaiheessa.
Kohdennettujen operaatioiden merkkejä
Tutkijat uskovat, että kampanja oli tarkoituksellinen eikä opportunistinen. Tämä johtopäätös perustuu uhriorganisaation nimeltä mainitsevaan lunnasvaatimusviestiin, mikä on harvinaista tyypillisissä kiristyshaittaohjelmatapauksissa. Alkuperäiseen pääsyyn käytetty menetelmä on edelleen tuntematon.
Epävarma attribuutio
Vaikka Charonin tekniikoilla on yhtäläisyyksiä Earth Baxian toimintojen kanssa, asiantuntijat varoittavat, että tämä päällekkäisyys voi viitata seuraaviin:
- Maan Baxian suora osallistuminen.
- Väärä lippu -operaatio, jonka tarkoituksena on jäljitellä Maan Baxiaa.
- Uusi ryhmä kehittää itsenäisesti samanlaisia taktiikoita.
Ilman selkeitä todisteita, kuten jaettua infrastruktuuria tai johdonmukaisia kohdistusmalleja, yhteys pysyy spekulatiivisena.
Kyberrikollisuuden ja kansallisvaltioiden taktiikoiden kasvava lähentyminen
Tämä tapaus korostaa huolestuttavaa trendiä: kiristysohjelmaryhmät ottavat yhä enemmän käyttöön APT-tason menetelmiä tunkeutumiseen ja kiertämiseen. Hiivallisen kaupankäynnin yhdistelmä kiristysohjelmien salauksen välittömiin taloudellisiin ja operatiivisiin vahinkoihin nostaa merkittävästi kohteena olevien organisaatioiden riskiä.
