Базирующийся в Китае субъект продвинутых постоянных угроз (APT), действующий с начала 2021 года, похоже, использует программы-вымогатели и атаки с двойным вымогательством в качестве маскировки для систематического, спонсируемого правительством кибершпионажа и кражи интеллектуальной собственности.

Во всех атаках злоумышленник использовал загрузчик вредоносного ПО под названием HUI Loader, связанный исключительно с группами, поддерживаемыми Китаем, для загрузки Cobalt Strike Beacon, а затем развертывания программ-вымогателей на скомпрометированных хостах. Исследователи из Secureworks, которые отслеживают группу как «Bronze Starlight», говорят, что это тактика, которую они не видели от других злоумышленников.

Secureworks также заявляет, что выявила организации в нескольких странах, которые злоумышленник, по-видимому, скомпрометировал. Жертвами группы в США являются фармацевтическая компания, юридическая фирма и медиа-компания с офисами в Гонконге и Китае. Среди других разработчиков и производителей электронных компонентов в Японии и Литве, фармацевтическая компания в Бразилии, а также аэрокосмическое и оборонное подразделение индийского конгломерата. На сегодняшний день около трех четвертей жертв Bronze Starlight — это организации, которые обычно представляли интерес для спонсируемых правительством китайских групп кибершпионажа.

Перебор семейств программ-вымогателей

С момента начала работы в 2021 году Bronze Starlight использовала в не менее пяти различных программ-вымогателей в своих атаках: LockFile, AtomSilo, Rook, Night Sky и Pandora. Анализ Secureworks показывает, что злоумышленник использовал традиционную модель программы-вымогателя с LockFile, где он шифровал данные в сети жертвы и требовал выкуп за ключ дешифрования. Но он переключился на модель двойного вымогательства с каждым из других семейств вымогателей. В этих атаках Bronze Starlight пыталась вымогать деньги у жертв, шифруя их конфиденциальные данные и угрожая публичной утечкой. Secureworks идентифицировала данные, принадлежащие как минимум 21 компании, размещенные на сайтах утечек, связанных с AtomSilo, Rook, Night Sky и Pandora.

Хотя на первый взгляд кажется, что Bronze Starlight преследует финансовые цели, на самом деле ее миссия кибершпионаж и кража интеллектуальной собственности в поддержку китайских экономических целей, говорит Марк Бернард, старший консультант по исследованиям в области информационной безопасности в Secureworks. Правительство США в прошлом году официально обвинил Китай использования групп угроз, таких как Bronze Starlight, в спонсируемых государством кампаниях кибершпионажа.

«Виктимология, инструменты и быстрое чередование семейств программ-вымогателей позволяют предположить, что целью Bronze Starlight может быть не финансовая выгода», — говорит он. Вместо этого злоумышленник может использовать программы-вымогатели и двойное вымогательство в качестве прикрытия для кражи данных у организаций, представляющих интерес для Китая, и уничтожения доказательств своей деятельности.

Bronze Starlight постоянно нацеливалась только на небольшое количество жертв в течение коротких периодов времени с каждым семейством программ-вымогателей — то, что группы угроз не часто делают из-за накладных расходов, связанных с разработкой и развертыванием новых инструментов программ-вымогателей. В случае с Bronze Starlight злоумышленник, по-видимому, использовал эту тактику, чтобы не привлекать слишком много внимания со стороны исследователей безопасности, сообщает Secureworks.

Китайская связь

Бернард говорит, что злоумышленник использует загрузчик HUI вместе с относительно редкой версией PlugX, трояна удаленного доступа, связанного исключительно с группами угроз, поддерживаемыми Китаем, — это еще один признак того, что Bronze Starlight представляет собой нечто большее, чем можно было бы предположить из-за активности вымогателей.

«Мы считаем, что HUI Loader — это инструмент, уникальный для китайских групп угроз, спонсируемых государством», — говорит Бернард. Он не используется широко, но там, где он использовался, его деятельность приписывали другим вероятным действиям китайской группы угроз, например группе, получившей название Bronze Riverside, которая занимается кражей интеллектуальной собственности японских компаний. 

«С точки зрения использования загрузчика HUI для загрузки маяков Cobalt Strike, это одна из ключевых характеристик активности Bronze Starlight, которая объединяет более широкую кампанию и пять семейств программ-вымогателей», — говорит Бернард.

Еще одним признаком того, что Bronze Starlight — это больше, чем просто операция по вымогательству, является нарушение, которое Secureworks расследовала ранее в этом году, когда Bronze Starlight взломал сервер в организации, которая ранее уже была скомпрометирована другой спонсируемой Китаем операцией по борьбе с угрозами под названием Bronze University. Однако в этом инциденте Bronze Starlight развернула загрузчик HUI с маяком Cobalt Strike на скомпрометированном сервере, но не развернула никаких программ-вымогателей. 

«Опять же, это поднимает интересный вопрос о связях между Bronze Starlight и спонсируемыми государством группами угроз в Китае», — говорит Бернард.

Также есть свидетельства того, что Bronze Starlight учится на своих действиях по вторжению и улучшает возможности загрузчика HUI, добавляет он. Например, версия загрузчика, которую группа использовала в своих первоначальных вторжениях, была просто предназначена для загрузки, расшифровки и выполнения полезной нагрузки. Но обновленная версия инструмента, с которой Secureworks столкнулась при реагировании на инцидент в январе 2022 года, выявила несколько улучшений. 

«Обновленная версия поставляется с методами уклонения от обнаружения, такими как отключение трассировки событий Windows для Windows [ETW] и интерфейса сканирования на наличие вредоносных программ [AMSI] и перехвата Windows API», — отмечает Бернард. «Это указывает на то, что загрузчик HUI активно разрабатывается и обновляется».

Расследование Secureworks показывает, что Bronze Starlight в первую очередь компрометирует серверы с выходом в Интернет в организациях-жертвах, используя известные уязвимости. По словам Бернарда, в рамках многоуровневого подхода к сетевой безопасности сетевые защитники должны обеспечить своевременное исправление серверов, подключенных к Интернету. 

«Хотя в центре внимания часто находится эксплуатация нулевого дня, мы часто видим, как группы угроз, такие как Bronze Starlight, используют уязвимости, для которых уже есть доступное исправление», — говорит он.