Charon Ransomware
Эксперты по кибербезопасности обнаружили новую кампанию по вымогательству с использованием ранее неизвестного штамма Charon, нацеленного специально на государственный сектор и авиационную отрасль на Ближнем Востоке. Операция отличается высокой степенью сложности и использует тактику, типичную для современных постоянных угроз (APT).
Оглавление
Заимствование тактик из руководств APT
Злоумышленники использовали продвинутые методы, такие как сторонняя загрузка DLL, внедрение процессов и уклончивые манёвры, предназначенные для обхода средств обнаружения и реагирования на конечные точки (EDR). Примечательно, что подход с боковой загрузкой DLL повторяет методы, наблюдаемые при атаках Earth Baxia, связанной с Китаем хакерской группы, известной своими атаками на государственные учреждения Тайваня и Азиатско-Тихоокеанского региона.
В предыдущих инцидентах Earth Baxia использовала уже исправленную уязвимость в OSGeo GeoServer GeoTools для внедрения бэкдора EAGLEDOOR. В случае с Charon атака использовала легитимный файл Edge.exe (первоначально cookie_exporter.exe) для загрузки вредоносной библиотеки msedge.dll, известной как SWORDLDR, которая затем внедряла вредоносную программу-вымогатель Charon.
Возможности программы-вымогателя Charon
После внедрения Charon ведёт себя так же, как и другие вредоносные программы-вымогатели, но с оптимизацией, которая делает его одновременно разрушительным и эффективным. Он может:
- Завершить работу служб и активных процессов, связанных с безопасностью.
- Удалите резервные копии и теневые копии, чтобы затруднить восстановление.
- Используйте многопоточность и частичное шифрование для более быстрой блокировки файлов.
Ещё одной интересной особенностью является использование драйвера, скомпилированного из проекта Dark-Kill с открытым исходным кодом. Это позволяет проводить атаку «принеси свой уязвимый драйвер» (BYOVD) для отключения инструментов EDR. Однако исследователи обнаружили, что эта возможность пока неактивна, что говорит о её разработке.
Признаки целенаправленной операции
Следователи полагают, что эта кампания была преднамеренной, а не случайной. Этот вывод основан на наличии записки с требованием выкупа, в которой упоминалось название организации-жертвы, что редко встречается в типичных случаях использования программ-вымогателей. Метод, использованный для первоначального доступа, остаётся неизвестным.
Неопределенная атрибуция
Хотя методы работы Харона и операции Земли Баксиа имеют сходство, эксперты предупреждают, что это совпадение может указывать на:
- Прямое участие Земли Баксия.
Без четких доказательств, таких как общая инфраструктура или единые схемы нападения, связь остается спекулятивной.
Растущая конвергенция киберпреступности и тактики национального государства
Этот инцидент подчёркивает тревожную тенденцию: группировки, занимающиеся распространением программ-вымогателей, всё чаще используют методы уровня APT для проникновения и обхода контроля. Сочетание скрытных методов с мгновенным финансовым и операционным ущербом, наносимым шифрованием программ-вымогателей, значительно повышает ставки для организаций, подвергшихся атакам.
