Izsiljevalska programska oprema Charon
Strokovnjaki za kibernetsko varnost so odkrili novo kampanjo izsiljevalske programske opreme, ki izkorišča prej neznan sev z imenom Charon in je posebej namenjena javnemu sektorju in letalski industriji na Bližnjem vzhodu. Operacija kaže visoko stopnjo sofisticiranosti, taktike pa so običajno povezane z akterji naprednih vztrajnih groženj (APT).
Kazalo
Izposojanje taktik iz priročnikov APT
Napadalci so uporabili napredne tehnike, kot so stransko nalaganje DLL, vbrizgavanje procesov in izogibalni manevri, namenjeni zaobiti orodja za zaznavanje in odzivanje na končne točke (EDR). Omeniti velja, da pristop stranskega nalaganja DLL odraža metode, opažene pri napadih Earth Baxia, hekerske skupine, povezane s Kitajsko, znane po napadih na vladne subjekte na Tajvanu in v azijsko-pacifiški regiji.
V teh preteklih incidentih je Earth Baxia izkoristila zdaj že odpravljeno napako v OSGeo GeoServer GeoTools za vzpostavitev stranskih vrat, imenovanih EAGLEDOOR. V primeru Charona je napad uporabil legitimno datoteko Edge.exe (prvotno cookie_exporter.exe) za nalaganje zlonamerne datoteke msedge.dll, znane kot SWORDLDR, ki je nato namestila koristni tovor izsiljevalske programske opreme Charon.
Zmogljivosti izsiljevalske programske opreme Charon
Ko je enkrat nameščen, se Charon obnaša kot druge uničujoče različice izsiljevalske programske opreme, vendar z optimizacijami, zaradi katerih je hkrati moteč in učinkovit. Zmore:
- Prekinite varnostne storitve in aktivne procese.
- Izbrišite varnostne kopije in senčne kopije, da preprečite obnovitev.
- Za hitrejše zaklepanje datotek uporabite večnitnost in delno šifriranje.
Druga zanimiva lastnost je vključitev gonilnika, prevedenega iz odprtokodnega projekta Dark-Kill. To omogoča napad »prinesi svoj ranljiv gonilnik« (BYOVD) za onemogočanje orodij EDR. Vendar pa so raziskovalci ugotovili, da ta zmožnost še ni aktivna, kar kaže na to, da je še vedno v razvoju.
Znaki ciljno usmerjene operacije
Preiskovalci menijo, da je bila ta kampanja namerna in ne oportunistična. Ta sklep temelji na prisotnosti zahtevka za odkupnino, v katerem je bila poimenovana organizacija žrtve, kar je redkost v tipičnih primerih izsiljevalske programske opreme. Metoda, uporabljena za začetni dostop, ostaja neznana.
Negotova pripis
Čeprav imajo Charonove tehnike podobnosti z delovanjem zemeljske Baxie, strokovnjaki opozarjajo, da bi to prekrivanje lahko kazalo na:
- Neposredna vpletenost Zemlje Baxia.
- Operacija pod lažno zastavo, zasnovana za posnemanje zemeljske Baxie.
- Nova skupina, ki neodvisno razvija podobne taktike.
Brez jasnih dokazov, kot so skupna infrastruktura ali dosledni vzorci ciljanja, ostaja povezava špekulativna.
Naraščajoča konvergenca kibernetske kriminalitete in taktik nacionalnih držav
Ta incident poudarja zaskrbljujoč trend: skupine, ki uporabljajo izsiljevalsko programsko opremo, vse pogosteje uporabljajo metode na ravni APT za vdore in izogibanje. Kombinacija prikritih trgovskih veščin z neposredno finančno in operativno škodo zaradi šifriranja izsiljevalske programske opreme znatno poveča tveganje za ciljne organizacije.
