Програма-вимагач Charon
Експерти з кібербезпеки виявили нову кампанію з використанням програмного забезпечення-вимагача, що використовує раніше невідомий штам під назвою Charon, спрямований спеціально на державний сектор та авіаційну промисловість на Близькому Сході. Операція демонструє високий рівень складності, а тактика зазвичай асоціюється з атаками передових постійних загроз (APT).
Зміст
Запозичення тактик з посібників APT
Зловмисники використовували передові методи, такі як завантаження DLL у сторону, ін'єкція процесів та маневри ухилення, розроблені для обходу інструментів виявлення та реагування на кінцеві точки (EDR). Примітно, що підхід до завантаження DLL у сторону відображає методи, що спостерігалися під час атак Earth Baxia, пов'язаної з Китаєм хакерської групи, відомої своїми атаками на урядові установи на Тайвані та в Азіатсько-Тихоокеанському регіоні.
У тих минулих інцидентах Earth Baxia використовувала виправлену вразливість в OSGeo GeoServer GeoTools для створення бекдору під назвою EAGLEDOOR. У випадку з Charon атака використовувала легітимний файл Edge.exe (спочатку cookie_exporter.exe) для завантаження шкідливої msedge.dll, відомої як SWORDLDR, яка потім розгортала корисне навантаження програми-вимагача Charon.
Можливості програми-вимагача Charon
Після розгортання Charon поводиться як інші руйнівні варіанти програм-вимагачів, але з оптимізаціями, які роблять його одночасно руйнівним та ефективним. Він може:
- Завершіть служби безпеки та активні процеси.
- Видаліть резервні копії та тіньові копії, щоб перешкодити відновленню.
- Використовуйте багатопоточність та часткове шифрування для швидшого блокування файлів.
Ще однією цікавою особливістю є включення драйвера, скомпільованого з проєкту Dark-Kill з відкритим кодом. Це дозволяє здійснювати атаку типу «принеси свій власний вразливий драйвер» (BYOVD) для вимкнення інструментів EDR. Однак дослідники виявили, що ця можливість ще не активна, що свідчить про те, що вона все ще перебуває в розробці.
Ознаки цілеспрямованої операції
Слідчі вважають, що ця кампанія була навмисною, а не опортуністичною. Цей висновок ґрунтується на наявності записки з вимогою викупу, в якій згадувалася назва організації-жертви, що є рідкістю в типових інцидентах із програмами-вимагачами. Метод, який використовувався для початкового доступу, залишається невідомим.
Невизначена атрибуція
Хоча методи Харона мають схожість з операціями земної Баксії, експерти застерігають, що це збігання може свідчити про:
- Безпосередня участь Землі Баксія.
- Операція під фальшивим прапором, розроблена для імітації Землі Баксія.
- Нова група незалежно розробляє подібну тактику.
Без чітких доказів, таких як спільна інфраструктура чи послідовні моделі таргетування, зв'язок залишається спекулятивним.
Зростаюча конвергенція кіберзлочинності та тактик взаємодії національних держав
Цей інцидент підкреслює тривожну тенденцію: групи програм-вимагачів все частіше використовують методи рівня APT для вторгнення та ухилення від атак. Поєднання прихованих торгових схем із безпосередньою фінансовою та операційною шкодою від шифрування програм-вимагачів значно підвищує ставки для організацій, на які спрямовані цілі.
