Kinijoje įsikūręs grėsmės veikėjas, stebimas kaip imperatorius „Dragonfly“ ir paprastai susijęs su kibernetinėmis kriminalinėmis pastangomis, buvo pastebėtas naudojant „Ransomware Attack“, kurį anksčiau buvo priskirta šnipinėjimo veikėjams.
Įsilaužėliai dislokavo „RA World Ransomware“ iš Azijos programinės įrangos ir paslaugų bendrovės ir reikalavo, kad pradinis išpirkos išmokas būtų 2 milijonai dolerių.
„Symantec“ grėsmės medžiotojų komandos tyrėjai stebėjo veiklą 2024 m. Pabaigoje ir pabrėžia galimą valstybės remiamų kibernetinio šnipinėjimo veikėjų ir finansiškai motyvuotų kibernetinių nusikaltimų grupių sutapimą.
„Per ataką 2024 m. Pabaigoje užpuolikas dislokavo atskirą įrankių rinkinį, kurį anksčiau naudojo Kinijos susijęs aktorius klasikinių šnipinėjimo atakų metu“,-sako tyrėjai ir pridūrė, kad „įrankiai, susiję su Kinijos šnipinėjimo grupėmis, dažnai yra bendri šaltiniai. „Bet„ daugelis nėra viešai prieinami ir paprastai nėra siejami su elektroninių nusikaltimų veikla “.
2024 m. Liepos mėn. Iš „Palo Alto Networks“ 42 skyriaus ataskaita taip pat susiję su imperatoriumi Dragonfly (dar žinomu kaip „Bronze Starlight“) su „RA World“, nors ir mažu pasitikėjimu. Anot tyrėjų, „RA World“ kilo iš „RA Group“, kuris 2023 m. Prasidėjo kaip Babuko šeima.
Nuo šnipinėjimo iki išpirkos programos
Nuo 2024 m. Liepos mėn. Iki 2025 m. Sausio mėn. Kinijoje įsikūrusi šnipinėjimo aktorius nukreipė vyriausybės ministerijas ir telekomunikacijų operatorius Pietryčių Europoje ir Azijoje, o akivaizdus tikslas yra ilgalaikis atkaklumas.
Šiose atakose konkretus „Pugx“ („Korplug“) variantas buvo dislokuotas su „Toshiba“ vykdomuoju (Toshdpdb.exe) per „DLL Sideloading“ kartu su kenksmingu DLL (Toshdpapi.dll).
Be to, „Symantec“ pastebėjo NPS tarpinio serverio, Kinijos sukurto įrankio, naudojamo slapto tinklo ryšiui, naudojimą ir įvairius RC4 užkretus naudingus krovinius.
2024 m. Lapkričio mėn. Pietų Azijos programinės įrangos kompanijoje buvo naudojama ta pati „Korplug“ naudingas krovinys. Šį kartą sekė „RA World Ransomware“ ataka.
Tariamai užpuolikas išnaudojo „Palo Alto Pan-OS“ (CVE-2024-0012), kad įsiskverbtų į tinklą, ir tada sekė tą pačią šoninio apkrovos metodą, apimantį „Toshiba“ vykdomąjį ir DLL failą, kad diegtų „KorPug“ prieš šifravus mašinas.
Remiantis turimais įrodymais, hipotezė yra ta, kad Kinijos valstybės remiami kibernetiniai darbuotojai, vykdantys šnipinėjimo išpuolius, gali „kaip„ Ransomware “veikėjai„ mėnulio šviesa “, siekdami asmeninio pelno.
„Symantec“ ataskaitoje pateikiami kompromiso (TOC), susijusių su stebima veikla, rodikliai, padedantys gynėjams aptikti ir blokuoti išpuolius prieš padarant žalą.
