Badacze zagrożeń w Bezpieczne ujawniło dane wywiadowcze na temat tego, w jaki sposób gangi cyberprzestępcze dzielą się narzędziami wzdłuż historycznych Jedwabnych Szlaków Eurazji, po tym, jak narzędzie, o którym wiadomo, że zostało opracowane przez chińskich cyberprzestępców, zostało entuzjastycznie przyjęte przez rosyjskojęzycznych operatorów oprogramowania ransomware.
Narzędzie, śledzony przez zespół badawczy jako Silkloaderto moduł ładujący typu beacon, który wykorzystuje ładowanie boczne bibliotek dołączanych dynamicznie (DLL), wykorzystując legalny odtwarzacz VLC Media Player do przesyłania i uruchamiania oprogramowania typu open source Struktura dowodzenia i kontroli Cobalt Strike (C2). – niezawodny element większości arsenałów cyberprzestępców – do systemów ich ofiar.
Wygląda na to, że został specjalnie zbudowany, by zasłaniać latarnie Cobalt Strike. Jest to przydatna rzecz, którą można zrobić, jak wyjaśnił badacz WithSecure, Mohammad Kazem Hassan Najad, który pracował nad badaniami wraz z kolegami Bertem Steppé i Neerajem Singhem.
„Latarnie Cobalt Strike są bardzo dobrze znane, a ich wykrycie na dobrze chronionej maszynie jest prawie gwarantowane” – powiedział. „Jednak dodając dodatkowe warstwy złożoności do zawartości pliku i uruchamiając go za pomocą znanej aplikacji, takiej jak VLC Media Player, poprzez ładowanie boczne, atakujący mają nadzieję na uniknięcie tych mechanizmów obronnych”.
Zespół po raz pierwszy zaobserwował, że został użyty w zeszłym roku, kiedy został użyty wyłącznie przez motywowanych finansowo chińskich aktorów przeciwko celom w Azji Wschodniej, głównie w Chinach i Hongkongu. Jednak ta kampania cyberprzestępczości osłabła i zatrzymała się w lipcu 2022 r.
Następnie, pod koniec roku, firma WithSecure wykryła szereg włamań cybernetycznych przeprowadzanych przez ludzi w różnych organizacjach.
Pierwsze zaobserwowane włamanie miało miejsce we Francji, a jego celem była organizacja pomocy społecznej, do której cyberprzestępca uzyskał wstępny dostęp za pośrednictwem luki w zabezpieczeniach sieci VPN Fortinet SSL i wykorzystał ten dostęp do uruchomienia sygnałów nawigacyjnych Cobalt Strike. To rozwijało się przez długi okres.
Po wykryciu przez technologię Elements firmy WithSecure cyberprzestępca obrócił się i próbował wystrzelić kolejny sygnał nawigacyjny Cobalt Strike za pomocą Silkloadera. Atak ten został pomyślnie powstrzymany – podobnie jak inne – ale prawie na pewno był początkowym etapem ataku ransomware.
Dalsza analiza taktyk, technik i procedur cyberprzestępcy (TTP), w szczególności wykorzystania luk Fortinet w celu uzyskania wstępnego dostępu, doprowadziła zespół WithSecure do oceny, że ataki były prawdopodobnie powiązane z operatorzy oprogramowania ransomware Play.
Nazwany na cześć rozszerzenia .play, które dołącza do zaszyfrowanych plików, Gra pojawiła się w 2022 rokui jest prawdopodobnie ściśle powiązany z nieistniejącą operacją Hive, która zakończyła się sukcesem zakłócony przez FBI w styczniu 2023 r. To było za niedawny atak ransomware na dealera samochodowego Arnolda Clarka z Glasgowjak i niesławnych Incydent z grudnia 2022 r. w Rackspaceco zakłóciło usługi hostowane dla tysięcy.
Chociaż adopcja Silkloadera przez rosyjskojęzyczny kartel ransomware może wydawać się interesującą cyberciekawostką, służy również jako cenny wgląd w handel cyberprzestępczy, ujawniając, w jaki sposób narzędzia są nabywane lub udostępniane między grupami, oraz wzmacnia powiązania między nimi.
W tym przypadku, powiedział Hassan Nejad, prawdopodobnie chiński operator, który mógł być nawet niezależnym programistą, sprzedał go rosyjskiemu aktorowi. Zasugerował, że najprawdopodobniej był to ktoś blisko spokrewniony również nieistniejąca operacja Conti – W szczególności Hive był używany z wielkim rozmachem przez aktora znanego jako UNC2727, Gold Ulrick lub Wizard Spider, który jest dawną operacją Conti które uderzyło w irlandzki Health Service Executive (HSE) w 2021 r.
„Uważamy, że Silkloader jest obecnie dystrybuowany w rosyjskim ekosystemie cyberprzestępczości jako gotowy program ładujący za pośrednictwem programu packer-as-a-service do grup ransomware lub ewentualnie za pośrednictwem grup oferujących Cobalt Strike/infrastrukturę jako usługę zaufanym podmiotom stowarzyszonym ”- powiedział Hassan Nejad.
Zwalczanie cyberprzestępczości motywowanej finansowo
Pozorna dostępność Silkloadera na zasadzie usługi pokazuje również, jak trudne może być zwalczanie cyberprzestępczości motywowanej finansowo, powiedział Paolo Palumbo, wiceprezes WithSecure Intelligence.
„Napastnicy wykorzystują branżę cyberprzestępczości do zdobywania nowych możliwości i technologii, dzięki czemu mogą szybko dostosowywać swoje działania do obrony swoich celów” — powiedział. „To utrudnia nam powiązanie zasobów z określoną grupą lub trybem działania.
„Z drugiej strony to współdzielenie infrastruktury oferuje nam mnożnik siły obronnej, dzięki któremu możemy bronić się przed kilkoma grupami jednocześnie, tworząc strategie przeciwdziałania współdzielonym przez nie zasobom” – powiedział Palumbo.