Δύο κινεζικές ομάδες χάκερ που διεξάγουν κατασκοπεία στον κυβερνοχώρο και κλέβουν πνευματική ιδιοκτησία από ιαπωνικές και δυτικές εταιρείες, αναπτύσσουν ransomware ως δόλωμα για να καλύψουν τις κακόβουλες δραστηριότητές τους.
Οι αναλυτές απειλών από την Secureworks λένε ότι η χρήση ransomware σε επιχειρήσεις κατασκοπείας γίνεται για να κρύψει τα ίχνη τους, να δυσκολέψει την απόδοση και να δημιουργήσει μια ισχυρή απόσπαση της προσοχής στους υπερασπιστές.
Τέλος, η διείσδυση των ευαίσθητων πληροφοριών καλύπτεται ως επιθέσεις με οικονομικά κίνητρα, κάτι που δεν συμβαίνει με τις ομάδες απειλών που χρηματοδοτούνται από την κινεζική κυβέρνηση.
Τα δύο συμπλέγματα δραστηριότητας hacking που αναλύθηκαν από την Secureworks είναι το “Bronze Riverside” (APT41) και το “Bronze Starlight” (APT10), και τα δύο χρησιμοποιούν το HUI Loader για την ανάπτυξη trojans απομακρυσμένης πρόσβασης, PlugX, Cobalt Strike και QuasarRAT.
Ξεκινώντας τον Μάρτιο του 2022, το “Bronze Starlight” χρησιμοποίησε το Cobalt Strike για να αναπτύξει στελέχη ransomware όπως το LockFile, το AtomSilo, το Rook, το Night Sky και το Pandora.
Σε αυτές τις επιθέσεις, οι χάκερ χρησιμοποίησαν επίσης μια νέα έκδοση του HUI Loader, η οποία μπορεί να συνδέσει τις κλήσεις του Windows API και να απενεργοποιήσει τις λειτουργίες παρακολούθησης συμβάντων για Windows (ETW) και διασύνδεσης σάρωσης κατά κακόβουλου λογισμικού (AMSI).
Η διαμόρφωση των Beacons Cobalt Strike σε τρεις διακριτές επιθέσεις χρησιμοποιώντας AtomSilo, Night Sky και Pandora αποκάλυψε μια κοινή διεύθυνση C2. Επιπλέον, η ίδια πηγή χρησιμοποιήθηκε για τη μεταφόρτωση δειγμάτων HUI Loader στο Virus Total φέτος.