Perisian Ransomware Charon
Pakar keselamatan siber telah menemui kempen perisian tebusan baharu yang memanfaatkan strain yang sebelum ini tidak diketahui bernama Charon, yang ditujukan khusus kepada sektor awam dan industri penerbangan di Timur Tengah. Operasi ini memaparkan tahap kecanggihan yang tinggi, dengan taktik yang biasanya dikaitkan dengan pelaku ancaman berterusan lanjutan (APT).
Isi kandungan
Taktik Meminjam daripada APT Playbooks
Penyerang menggunakan teknik lanjutan seperti pemuatan sisi DLL, suntikan proses dan gerakan mengelak yang direka untuk memintas alat pengesanan dan tindak balas titik akhir (EDR). Terutama, pendekatan pemuatan sisi DLL mencerminkan kaedah yang diperhatikan dalam serangan oleh Earth Baxia, kumpulan penggodam berkaitan China yang terkenal menyasarkan entiti kerajaan di Taiwan dan rantau Asia Pasifik.
Dalam kejadian lalu itu, Earth Baxia telah mengeksploitasi kecacatan yang kini telah ditambal dalam OSGeo GeoServer GeoTools untuk menyampaikan pintu belakang yang dipanggil EAGLEDOOR. Dalam kes Charon, serangan itu menggunakan fail yang sah, Edge.exe (asalnya cookie_exporter.exe), untuk memuatkan msedge.dll berniat jahat yang dikenali sebagai SWORDLDR, yang kemudiannya menggunakan muatan perisian tebusan Charon.
Keupayaan Charon Ransomware
Setelah digunakan, Charon berkelakuan seperti varian perisian tebusan yang merosakkan lain, tetapi dengan pengoptimuman yang menjadikannya mengganggu dan cekap. Ia boleh:
- Menamatkan perkhidmatan berkaitan keselamatan dan proses aktif.
- Padamkan sandaran dan salinan bayangan untuk menghalang pemulihan.
- Gunakan multithreading dan penyulitan separa untuk mengunci fail yang lebih pantas.
Satu lagi ciri menarik ialah penggabungan pemandu yang disusun daripada projek Dark-Kill sumber terbuka. Ini membolehkan serangan bawa pemacu terdedah anda sendiri (BYOVD) untuk melumpuhkan alatan EDR. Walau bagaimanapun, penyelidik mendapati bahawa keupayaan ini masih belum aktif, menunjukkan ia masih dalam pembangunan.
Tanda-tanda Operasi Bersasar
Penyiasat percaya kempen ini sengaja dan bukannya oportunistik. Kesimpulan ini adalah berdasarkan kehadiran nota tebusan yang disesuaikan untuk menyebut nama organisasi mangsa, yang jarang berlaku dalam insiden perisian tebusan biasa. Kaedah yang digunakan untuk akses awal masih tidak diketahui.
Atribusi Tidak Pasti
Walaupun teknik Charon berkongsi persamaan dengan operasi Earth Baxia, pakar memberi amaran bahawa pertindihan ini boleh menunjukkan:
- Penglibatan langsung Earth Baxia.
- Operasi bendera palsu yang direka untuk meniru Earth Baxia.
- Kumpulan baharu secara bebas membangunkan taktik serupa.
Tanpa bukti yang jelas seperti infrastruktur yang dikongsi atau corak penyasaran yang konsisten, sambungan kekal spekulatif.
Konvergensi Jenayah Siber dan Taktik Negara Bangsa yang Semakin Berkembang
Insiden ini menekankan trend yang membimbangkan: kumpulan perisian tebusan semakin menggunakan kaedah gred APT untuk pencerobohan dan pengelakan. Gabungan tradecraft senyap dengan kerosakan kewangan dan operasi serta-merta penyulitan perisian tebusan dengan ketara meningkatkan kepentingan untuk organisasi yang disasarkan.
