Charon zsarolóvírus
Kiberbiztonsági szakértők egy új zsarolóvírus-kampányt lepleztek le, amely egy korábban ismeretlen, Charon nevű törzset használ, és kifejezetten a közel-keleti közszférát és a légiközlekedési ipart célozza meg. A művelet magas szintű kifinomultságot mutat, a taktikák jellemzően a fejlett állandó fenyegetések (APT) elkövetőihez kapcsolódnak.
Tartalomjegyzék
Taktikák kölcsönzése az APT Playbooks-ból
A támadók olyan fejlett technikákat alkalmaztak, mint a DLL oldalirányú betöltése, a folyamatbefecskendezés és a végpont-észlelő és -reagáló (EDR) eszközök megkerülésére tervezett kitérő manőverek. Figyelemre méltó, hogy a DLL oldalirányú betöltésére szolgáló megközelítés tükrözi az Earth Baxia, egy Kínához köthető hackercsoport támadásaiban megfigyelt módszereket, amelyről ismert, hogy tajvani és ázsiai-csendes-óceáni térségbeli kormányzati szerveket céloz meg.
A korábbi incidensekben az Earth Baxia egy azóta javított hibát használt ki az OSGeo GeoServer GeoTools-ban, hogy egy EAGLEDOOR nevű hátsó ajtót hozzon létre. A Charon esetében a támadás egy legitim fájlt, az Edge.exe-t (eredetileg cookie_exporter.exe) használt egy SWORDLDR nevű rosszindulatú msedge.dll betöltésére, amely ezután telepítette a Charon zsarolóvírus-csomagot.
A Charon zsarolóvírus képességei
Telepítés után a Charon más romboló zsarolóvírus-variánsokhoz hasonlóan viselkedik, de olyan optimalizálásokkal, amelyek egyszerre teszik zavaróvá és hatékonnyá. Képes:
- Biztonsággal kapcsolatos szolgáltatások és aktív folyamatok leállítása.
- A biztonsági mentések és árnyékmásolatok törlése a helyreállítás akadályozása érdekében.
- Használjon többszálú működést és részleges titkosítást a gyorsabb fájlzároláshoz.
Egy másik érdekes funkció a nyílt forráskódú Dark-Kill projektből fordított illesztőprogram beépítése. Ez lehetővé teszi a saját sebezhető illesztőprogram (BYOVD) támadását az EDR eszközök letiltására. A kutatók azonban azt találták, hogy ez a képesség még nem aktív, ami arra utal, hogy még fejlesztés alatt áll.
Célzott művelet jelei
A nyomozók úgy vélik, hogy ez a kampány szándékos, nem pedig alkalmi volt. Ez a következtetés egy olyan váltságdíjat követelő üzenet meglétén alapul, amely név szerint megemlítette az áldozat szervezetét, ami ritkaság a tipikus zsarolóvírus-esetekben. A kezdeti hozzáféréshez használt módszer továbbra sem ismert.
Bizonytalan attribúció
Bár Charon technikái hasonlóságokat mutatnak az Earth Baxia műveleteivel, a szakértők óvatosságra intenek, hogy ez az átfedés a következőkre utalhat:
- Földi Baxia közvetlen érintettsége.
- Egy hamis zászlós hadművelet, amelynek célja a Föld Baxia utánzása.
- Egy új csoport, amely függetlenül fejleszt hasonló taktikákat.
Egyértelmű bizonyítékok, például megosztott infrastruktúra vagy következetes célzási minták nélkül a kapcsolat továbbra is spekulatív.
A kiberbűnözés és a nemzetállami taktikák egyre növekvő konvergenciája
Ez az eset egy aggasztó tendenciát mutat rá: a zsarolóvírus-csoportok egyre inkább APT-szintű módszereket alkalmaznak a behatolásra és az illegális támadások elkerülésére. A lopakodó kereskedelem és a zsarolóvírus-titkosítás azonnali pénzügyi és működési kárának keveréke jelentősen megnöveli a tétet a célzott szervezetek számára.
