Charon išpirkos reikalaujanti programa
Kibernetinio saugumo ekspertai atskleidė naują išpirkos reikalaujančios programinės įrangos kampaniją, pasitelkdami anksčiau nežinomą viruso atmainą, pavadintą „Charon“, skirtą būtent viešajam sektoriui ir aviacijos pramonei Artimuosiuose Rytuose. Operacija pasižymi dideliu sudėtingumu, o taktika paprastai siejama su pažangiais nuolatinių grėsmių (APT) veikėjais.
Turinys
Skolinimosi taktika iš APT vadovų
Užpuolikai naudojo pažangias technikas, tokias kaip DLL šoninis įkėlimas, procesų injekcija ir išsisukinėjimo manevrai, skirti apeiti galinių taškų aptikimo ir reagavimo (EDR) įrankius. Pažymėtina, kad DLL šoninio įkėlimo metodas atspindi metodus, pastebėtus „Earth Baxia“ – su Kinija susijusios įsilaužėlių grupės, žinomos dėl taikinių prieš vyriausybines įstaigas Taivane ir Azijos bei Ramiojo vandenyno regione, – atakose.
Ankstesniuose incidentuose „Earth Baxia“ išnaudojo dabar pataisytą „OSGeo GeoServer GeoTools“ spragą, kad sukurtų užpakalines duris, vadinamas EAGLEDOOR. „Charon“ atveju ataka panaudojo teisėtą failą „Edge.exe“ (iš pradžių vadinamą „cookie_exporter.exe“), kad įkeltų kenkėjišką „msedge.dll“, žinomą kaip SWORDLDR, kuris vėliau dislokavo „Charon“ išpirkos reikalaujančią programinės įrangos paketą.
„Charon Ransomware“ galimybės
Įdiegus „Charon“, jis elgiasi kaip ir kiti žalingi išpirkos reikalaujantys virusai, tačiau yra optimizuotas, todėl veikia ir trikdančiai, ir efektyviai. Jis gali:
- Nutraukti su saugumu susijusias paslaugas ir aktyvius procesus.
- Ištrinkite atsargines kopijas ir šešėlines kopijas, kad būtų sunkiau atkurti duomenis.
- Norėdami greičiau užrakinti failus, naudokite daugiasriegį veikimą ir dalinį šifravimą.
Dar viena įdomi funkcija – integruotas tvarkyklė, sukompiliuota iš atvirojo kodo „Dark-Kill“ projekto. Tai leidžia atlikti „pasidaryk pats“ pažeidžiamos tvarkyklės (BYOVD) ataką, skirtą išjungti EDR įrankius. Tačiau tyrėjai nustatė, kad ši funkcija dar neaktyvi, o tai rodo, kad ji vis dar kuriama.
Tikslinės operacijos požymiai
Tyrėjai mano, kad ši kampanija buvo tyčinė, o ne oportunistinė. Ši išvada pagrįsta tuo, kad buvo pateiktas išpirkos raštelis, kuriame buvo nurodyta aukos organizacija – tai retenybė tipiniuose išpirkos reikalaujančių programų incidentuose. Pradinės prieigos metodas nežinomas.
Neaiški priskyrimas
Nors Charono metodai panašūs į „Earth Baxia“ operacijas, ekspertai įspėja, kad šis sutapimas gali rodyti:
- Tiesioginis Žemės Baxijos dalyvavimas.
- Netikra vėliavos operacija, skirta imituoti Žemės Baksiją.
- Nauja grupė, savarankiškai kurianti panašią taktiką.
Neturint aiškių įrodymų, tokių kaip bendra infrastruktūra ar nuoseklūs taikymo modeliai, ryšys lieka spekuliatyvus.
Augantis kibernetinių nusikaltimų ir nacionalinių valstybių taktikos suartėjimas
Šis incidentas pabrėžia nerimą keliančią tendenciją: išpirkos reikalaujančių programų grupės vis dažniau naudoja APT lygio įsilaužimo ir apėjimo metodus. Slaptų prekybos metodų ir išpirkos reikalaujančių programų šifravimo daromos tiesioginės finansinės ir operacinės žalos derinys gerokai padidina riziką organizacijoms, kurioms taikinys yra taikinys.
