Charon Ransomware
Natuklasan ng mga dalubhasa sa cybersecurity ang isang bagong ransomware campaign na gumagamit ng dati nang hindi kilalang strain na pinangalanang Charon, partikular na naglalayong sa pampublikong sektor at industriya ng aviation sa Middle East. Ang operasyon ay nagpapakita ng mataas na antas ng pagiging sopistikado, na may mga taktika na karaniwang nauugnay sa mga advanced na persistent threat (APT) na aktor.
Talaan ng mga Nilalaman
Mga Taktika sa Paghiram mula sa APT Playbooks
Gumamit ang mga umaatake ng mga advanced na diskarte gaya ng DLL side-loading, process injection, at evasive maneuvers na idinisenyo upang i-bypass ang endpoint detection and response (EDR) na mga tool. Kapansin-pansin, ang DLL side-loading approach ay sumasalamin sa mga pamamaraan na naobserbahan sa mga pag-atake ng Earth Baxia, isang grupo ng pag-hack na nauugnay sa China na kilala sa pag-target sa mga entidad ng gobyerno sa Taiwan at sa rehiyon ng Asia-Pacific.
Sa mga nakaraang insidenteng iyon, sinamantala ng Earth Baxia ang isang natatakpan na ngayon na kapintasan sa OSGeo GeoServer GeoTools para maghatid ng backdoor na tinatawag na EAGLEDOOR. Sa kaso ng Charon, gumamit ang pag-atake ng isang lehitimong file, Edge.exe (orihinal na cookie_exporter.exe), upang mag-load ng malisyosong msedge.dll na kilala bilang SWORDLDR, na pagkatapos ay nag-deploy ng Charon ransomware payload.
Mga kakayahan ng Charon Ransomware
Kapag na-deploy na, kumikilos si Charon tulad ng iba pang mapanirang variant ng ransomware, ngunit may mga pag-optimize na ginagawa itong parehong nakakagambala at mahusay. Maaari itong:
- Wakasan ang mga serbisyong nauugnay sa seguridad at aktibong proseso.
- Tanggalin ang mga backup at shadow copy para hadlangan ang pagbawi.
- Gumamit ng multithreading at bahagyang pag-encrypt para sa mas mabilis na pag-lock ng file.
Ang isa pang kawili-wiling tampok ay ang pagsasama nito ng isang driver na pinagsama-sama mula sa open-source na Dark-Kill na proyekto. Nagbibigay-daan ito sa pag-atake ng sarili mong vulnerable driver (BYOVD) upang hindi paganahin ang mga tool ng EDR. Gayunpaman, natuklasan ng mga mananaliksik na ang kakayahang ito ay hindi pa aktibo, na nagmumungkahi na ito ay nasa ilalim pa rin ng pag-unlad.
Mga Palatandaan ng Naka-target na Operasyon
Naniniwala ang mga imbestigador na sinadya ang kampanyang ito sa halip na oportunistiko. Ang konklusyong ito ay batay sa pagkakaroon ng isang ransom note na na-customize upang banggitin ang organisasyon ng biktima ayon sa pangalan, isang pambihira sa mga karaniwang insidente ng ransomware. Ang paraan na ginamit para sa paunang pag-access ay nananatiling hindi alam.
Hindi Siguradong Pagpapatungkol
Habang ang mga diskarte ni Charon ay may pagkakatulad sa mga operasyon ng Earth Baxia, ang mga eksperto ay nagbabala na ang overlap na ito ay maaaring magpahiwatig ng:
- Direktang paglahok ng Earth Baxia.
Kung walang malinaw na ebidensya tulad ng nakabahaging imprastraktura o pare-parehong mga pattern sa pag-target, ang koneksyon ay nananatiling haka-haka.
Ang Lumalagong Convergence ng Cybercrime at Nation-State Tactics
Ang insidenteng ito ay binibigyang-diin ang isang nauukol na trend: ang mga pangkat ng ransomware ay lalong gumagamit ng mga pamamaraang APT-grade para sa panghihimasok at pag-iwas. Ang kumbinasyon ng palihim na tradecraft na may agarang pinsala sa pananalapi at pagpapatakbo ng ransomware encryption ay makabuluhang nagpapataas ng mga stake para sa mga target na organisasyon.
