最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

美国谎话连篇:Cheerscrypt勒索软件与中国黑客组织有关

网络安全 快米云 来源:快米云 71浏览

中国黑客活动

Cheerscrypt 勒索软件与一个名为“Emperor Dragonfly”的中国黑客组织有关,该组织经常在勒索软件系列之间切换以逃避归属。

该勒索软件团伙以不同的名称进行追踪,例如 Bronze Starlight (Secureworks) 和 DEV-0401 (Microsoft),并且自 2021 年以来已使用各种勒索软件系列。

虽然该黑客组织似乎以勒索软件的形式运作,但之前的研究表明,他们的许多受害者是中国政府感兴趣的目标。

这导致研究人员认为,该黑客组织的勒索软件活动可能是中国政府资助的网络间谍活动的掩护。

夜空和 Cheerscrypt

在今年早些时候的一次事件响应中,Sygnia 的安全专家确定黑客利用了 Apache 的“ Log4Shell ”Log4j 漏洞 (CVE-2021-44228) 来执行 PowerShell 命令,该命令启动了Night Sky TTP的 DLL 侧载技术特征。

接下来,入侵者投放了一个 Cobalt Strike 信标,该信标连接到之前与夜空行动相关的 C2 地址。

攻击者部署了三个在勒索软件领域很少见的 Go 工具:修改后的阿里云 OSS 键盘记录器、定制版的“IOX”端口转发和代理工具以及定制版的“NPS”隧道工具。

在侦察和横向移动之后,跟随过去夜空攻击的脚步,部署的勒索软件不是夜空而是 Cheerscrypt,加密 Windows 和 Linux ESXi 机器。

两种勒索软件之间的重叠
两种勒索软件之间的重叠 (Sygnia)

在研究人员发现针对 VMware ESXi 服务器的加密器后,趋势科技于 2022 年 5 月首次发现了“Cheers”勒索软件 。 

与其他以企业为目标的勒索软件团体一样,黑客入侵网络、窃取数据并加密设备。然后,这些数据被用于双重勒索策略,以迫使受害者支付赎金。如果不支付赎金,被盗数据将发布在数据泄露站点上,如下所示。

干杯数据泄露网站
Cheers 数据泄露网站

频繁切换勒索软件毒株

根据 Sygnia的说法,Cheerscrypt 是 Emperor Dragonfly 持续有效载荷重塑品牌的又一努力,试图逃避归属。

该勒索软件组织并非作为附属机构的 RaaS(勒索软件即服务)平台运营,而是作为与网络犯罪社区其他成员隔离的“独狼”。

Secureworks 在 2022 年 6 月的一份报告中假设,特定的威胁行为者使用 Night Sky、Rook、Pandora 和 AtomSilo 等勒索软件系列将 政府资助的网络间谍活动掩盖 为出于经济动机的攻击。

同月,微软更新了 一篇关于勒索软件操作的文章, 将黑客组织包括在内,他们将其追踪为 DEV-0401,并将其归咎于中国威胁行为者。

微软威胁情报研究人员解释说:“与此处介绍的其他 RaaS 开发人员、附属机构和访问代理不同,DEV-0401 似乎是一个参与其攻击生命周期所有阶段的活动组,从初始访问到勒索软件开发。”

“尽管如此,他们似乎从成功的 RaaS 操作中获得了一些灵感,因为他们经常重新命名他们的勒索软件有效载荷。”

“在微软追踪的人为操作的勒索软件威胁参与者中,DEV-0401被证实是一个基于中国的活动组织,是独一无二的 。”

与 Secureworks 一样,微软也发现他们不断在勒索软件品牌之间切换,包括 LockFile 和 LockBit 2.0 等其他品种。

DEV-0401 分发的勒索软件有效载荷
DEV-0401 分发的勒索软件有效载荷
来源:微软

Night Sky、Pandora 和 Rook 都源自 泄露的 Babuk 源代码 ,并且在它们的代码中有许多相似之处。此外,趋势科技此前曾表示,Cheerscrypt 似乎也以 Babuk 作为其基础,因此这些作品很合适。

无论“皇帝蜻蜓”的真正目标是什么,由于该组织通常针对互联网公开服务器中的漏洞,因此必须尽快将安全更新应用于您的设备。

由于已知该组织以 VMware Horizo​​n 服务器中的 Log4j 漏洞为目标,因此向这些设备应用补丁应该是所有组织的优先事项。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 美国谎话连篇:Cheerscrypt勒索软件与中国黑客组织有关