Charon izspiedējvīruss
Kiberdrošības eksperti ir atklājuši jaunu izspiedējvīrusa kampaņu, kas izmanto iepriekš nezināmu paveidu ar nosaukumu Charon un ir īpaši vērsta pret valsts sektoru un aviācijas nozari Tuvajos Austrumos. Operācija demonstrē augstu sarežģītības līmeni, un taktika parasti tiek saistīta ar progresīviem pastāvīgu draudu (APT) dalībniekiem.
Satura rādītājs
Aizņemšanās taktika no APT Playbooks
Uzbrucēji izmantoja tādas progresīvas metodes kā DLL sānu ielāde, procesu injekcija un izvairīšanās manevri, kas paredzēti, lai apietu galapunktu noteikšanas un reaģēšanas (EDR) rīkus. Jāatzīmē, ka DLL sānu ielādes pieeja atspoguļo metodes, kas novērotas Earth Baxia uzbrukumos – ar Ķīnu saistīta hakeru grupa, kas pazīstama ar uzbrukumiem valdības iestādēm Taivānā un Āzijas un Klusā okeāna reģionā.
Iepriekšējos incidentos Earth Baxia izmantoja tagad labotu OSGeo GeoServer GeoTools trūkumu, lai izveidotu aizmugurējo durvju rīku ar nosaukumu EAGLEDOOR. Charon gadījumā uzbrukumā tika izmantots likumīgs fails Edge.exe (sākotnēji cookie_exporter.exe), lai ielādētu ļaunprātīgu msedge.dll failu SWORDLDR, kas pēc tam ievietoja Charon izspiedējvīrusa vērtumu.
Charon izspiedējvīrusa iespējas
Kad Charon ir izvietots, tas darbojas tāpat kā citi destruktīvi izspiedējvīrusu varianti, taču ar optimizācijām, kas padara to gan graujošu, gan efektīvu. Tas var:
- Pārtraukt ar drošību saistītos pakalpojumus un aktīvos procesus.
- Izdzēsiet dublējumkopijas un ēnu kopijas, lai kavētu atkopšanu.
- Izmantojiet vairāku pavedienu apstrādi un daļēju šifrēšanu, lai ātrāk bloķētu failus.
Vēl viena interesanta funkcija ir draivera iekļaušana, kas kompilēts no atvērtā pirmkoda Dark-Kill projekta. Tas ļauj izmantot sava ievainojama draivera (BYOVD) uzbrukumu, lai atspējotu EDR rīkus. Tomēr pētnieki atklāja, ka šī iespēja vēl nav aktīva, kas liecina, ka tā joprojām tiek izstrādāta.
Mērķtiecīgas operācijas pazīmes
Izmeklētāji uzskata, ka šī kampaņa bija apzināta, nevis oportūnistiska. Šis secinājums ir balstīts uz izpirkuma pieprasījuma zīmītes klātbūtni, kas bija pielāgota, lai nosauktu cietušo organizāciju, kas ir retums tipiskos izspiedējvīrusa incidentos. Sākotnējai piekļuvei izmantotā metode joprojām nav zināma.
Nenoteikta attiecināšana
Lai gan Harona metodēm ir līdzības ar Zemes Baksijas darbībām, eksperti brīdina, ka šī pārklāšanās varētu liecināt par:
- Tieša Zemes Baxijas iesaistīšanās.
- Viltus karoga operācija, kuras mērķis ir atdarināt Zemes Baksiju.
- Jauna grupa, kas neatkarīgi izstrādā līdzīgu taktiku.
Bez skaidriem pierādījumiem, piemēram, kopīgas infrastruktūras vai konsekventiem mērķauditorijas atlases modeļiem, saikne joprojām ir spekulatīva.
Kibernoziedzības un nacionālo valstu taktikas pieaugošā konverģence
Šis incidents uzsver satraucošu tendenci: izspiedējvīrusu grupas arvien biežāk izmanto APT līmeņa metodes ielaušanās un apiešanas nolūkos. Slepenas tirdzniecības apvienojums ar izspiedējvīrusu šifrēšanas radītajiem tūlītējiem finansiāliem un operacionāliem zaudējumiem ievērojami palielina likmes mērķa organizācijām.
