Một kẻ đe dọa liên tục nâng cao (APT) có trụ sở tại Trung Quốc, hoạt động từ đầu năm 2021, dường như đang sử dụng ransomware và các cuộc tấn công tống tiền kép để ngụy trang cho hành vi đánh cắp tài sản trí tuệ và gián điệp mạng có hệ thống, do chính phủ tài trợ.
Trong tất cả các cuộc tấn công, kẻ đe dọa đã sử dụng một trình tải phần mềm độc hại có tên HUI Loader - được liên kết riêng với các nhóm do Trung Quốc hậu thuẫn - để tải Cobalt Strike Beacon và sau đó triển khai ransomware trên các máy chủ bị xâm nhập. Các nhà nghiên cứu tại Secureworks đang theo dõi nhóm này với cái tên “Ánh sao đồng” nói rằng đó là một chiến thuật mà họ không quan sát thấy các mối đe dọa khác sử dụng.
Secureworks cũng cho biết họ đã xác định các tổ chức ở nhiều quốc gia mà đối thủ dường như đã xâm nhập. Nạn nhân của nhóm có trụ sở tại Hoa Kỳ bao gồm một công ty dược phẩm, một công ty luật và một công ty truyền thông có văn phòng tại Hồng Kông và Trung Quốc. Những người khác bao gồm các nhà thiết kế và sản xuất linh kiện điện tử ở Nhật Bản và Lithuania, một công ty dược phẩm ở Brazil, và bộ phận hàng không vũ trụ và quốc phòng của một tập đoàn Ấn Độ. Khoảng XNUMX/XNUMX nạn nhân của Bronze Starlight cho đến nay là các tổ chức thường được các nhóm gián điệp mạng Trung Quốc do chính phủ tài trợ.
Đạp xe qua các gia đình Ransomware
Kể từ khi bắt đầu hoạt động vào năm 2021, Bronze Starlight đã sử dụng tại ít nhất năm công cụ ransomware khác nhau trong các cuộc tấn công của nó: LockFile, AtomSilo, Rook, Night Sky và Pandora. Phân tích của Secureworks cho thấy kẻ đe dọa đã sử dụng mô hình ransomware truyền thống với LockFile, nơi nó mã hóa dữ liệu trên mạng nạn nhân và yêu cầu tiền chuộc cho khóa giải mã. Nhưng nó đã chuyển sang mô hình tống tiền kép với từng họ ransomware khác. Trong các cuộc tấn công này, Bronze Starlight đã cố gắng tống tiền các nạn nhân bằng cách vừa mã hóa dữ liệu nhạy cảm của họ vừa đe dọa làm rò rỉ nó một cách công khai. Secureworks đã xác định dữ liệu thuộc về ít nhất 21 công ty được đăng trên các trang web rò rỉ liên quan đến AtomSilo, Rook, Night Sky và Pandora.
Trong khi ánh sao đồng xuất hiện trên bề mặt là để thúc đẩy tài chính, nhiệm vụ thực sự của nó dường như gián điệp mạng và ăn cắp tài sản trí tuệ Marc Burnard, cố vấn cao cấp nghiên cứu về an ninh thông tin tại Secureworks cho biết để hỗ trợ các mục tiêu kinh tế của Trung Quốc. Chính phủ Hoa Kỳ năm ngoái chính thức cáo buộc Trung Quốc sử dụng các nhóm đe dọa như Bronze Starlight trong các chiến dịch gián điệp mạng do nhà nước tài trợ.
Ông nói: “Nạn nhân, công cụ và vòng quay nhanh chóng qua các gia đình ransomware cho thấy mục đích của Bronze Starlight có thể không phải là lợi nhuận tài chính. Thay vào đó, có thể kẻ đe dọa đang sử dụng ransomware và mã độc tống tiền kép làm vỏ bọc để đánh cắp dữ liệu từ các tổ chức có lợi cho Trung Quốc và phá hủy bằng chứng về hoạt động của tổ chức này.
Bronze Starlight đã liên tục chỉ nhắm mục tiêu vào một số lượng nhỏ nạn nhân trong khoảng thời gian ngắn với mỗi họ ransomware - điều mà các nhóm đe dọa không thường làm vì chi phí liên quan đến việc phát triển và triển khai các công cụ ransomware mới. Trong trường hợp của Bronze Starlight, kẻ đe dọa dường như đã sử dụng chiến thuật này để ngăn chặn việc thu hút quá nhiều sự chú ý từ các nhà nghiên cứu bảo mật, Secureworks cho biết.
Kết nối Trung Quốc
Burnard cho biết việc kẻ đe dọa sử dụng HUI Loader cùng với phiên bản PlugX tương đối hiếm, một Trojan truy cập từ xa được liên kết riêng với các nhóm mối đe dọa do Trung Quốc hậu thuẫn, là một dấu hiệu khác cho thấy Bronze Starlight có nhiều hơn hoạt động ransomware của nó có thể gợi ý.
Burnard nói: “Chúng tôi tin rằng HUI Loader là một công cụ dành riêng cho các nhóm đe dọa do nhà nước Trung Quốc bảo trợ. Nó không được sử dụng rộng rãi, nhưng ở những nơi nó được sử dụng, hoạt động này được cho là do hoạt động của nhóm đe dọa Trung Quốc có khả năng xảy ra khác, chẳng hạn như hoạt động của một nhóm có tên là Bronze Riverside tập trung vào việc đánh cắp IP từ các công ty Nhật Bản.
Burnard nói: “Về việc sử dụng HUI Loader để tải Cobalt Strike Beacons, đây là một đặc điểm chính của hoạt động Bronze Starlight kết nối chiến dịch rộng lớn hơn và năm họ ransomware với nhau.
Một dấu hiệu khác cho thấy Bronze Starlight không chỉ là một hoạt động ransomware liên quan đến một vụ vi phạm mà Secureworks đã điều tra vào đầu năm nay, nơi Bronze Starlight đã đột nhập vào máy chủ tại một tổ chức trước đó đã bị xâm nhập bởi một hoạt động đe dọa khác do Trung Quốc tài trợ có tên là Đại học Đồng. Tuy nhiên, trong sự cố này, Bronze Starlight đã triển khai HUI Loader với Cobalt Strike Beacon trên máy chủ bị xâm nhập, nhưng nó không triển khai bất kỳ ransomware nào.
Burnard nói: “Một lần nữa, điều này đặt ra một câu hỏi thú vị xung quanh mối liên hệ giữa Bronze Starlight và các nhóm đe dọa do nhà nước bảo trợ ở Trung Quốc.
Ngoài ra còn có bằng chứng cho thấy Bronze Starlight đang học hỏi từ hoạt động xâm nhập của nó và cải thiện khả năng của Trình tải HUI, ông nói thêm. Chẳng hạn, phiên bản của trình tải mà nhóm đã sử dụng trong những lần xâm nhập ban đầu chỉ được thiết kế để tải, giải mã và thực thi một tải trọng. Nhưng một phiên bản cập nhật của công cụ mà Secureworks đã sử dụng trong khi ứng phó với sự cố tháng 2022 năm XNUMX đã tiết lộ một số cải tiến.
“Phiên bản cập nhật đi kèm với các kỹ thuật tránh phát hiện, chẳng hạn như vô hiệu hóa Windows Event Tracing cho Windows [ETW] và Antimalware Scan Interface [AMSI] và Windows API hooking,” Burnard lưu ý. “Điều này cho thấy Trình tải HUI đang tích cực được phát triển và nâng cấp.”
Cuộc điều tra của Secureworks cho thấy rằng Bronze Starlight chủ yếu xâm nhập các máy chủ sử dụng Internet trên các tổ chức nạn nhân bằng cách khai thác các lỗ hổng đã biết. Vì vậy, là một phần của phương pháp tiếp cận đa lớp đối với an ninh mạng, những người bảo vệ mạng nên đảm bảo rằng các máy chủ sử dụng Internet được vá kịp thời, Burnard nói.
Ông nói: “Trong khi trọng tâm thường là khai thác zero-day, chúng tôi thường thấy các nhóm đe dọa như Bronze Starlight khai thác các lỗ hổng đã có sẵn bản vá.
