Cheerscrypt Ransomware Erkennung: Von China unterstützte Hacker, Kaiser-Libelle alias Bronze Starlight, stecken hinter laufenden Cyberangriffen
Inhaltsverzeichnis:
Cybersicherheitsforscher haben kürzlich ein neuartiges Linux-basiertes Cheerscrypt-Ransomware entdeckt. Die Auslieferung dieser Ransomware wird mit der von China unterstützten Gruppe Emperor Dragonfly in Verbindung gebracht, die auch als Bronze Starlight verfolgt wird. Das Hacker-Kollektiv wurde auch bei früheren Cyberangriffen beobachtet, bei denen verschlüsselte Cobalt Strike Beacons verbreitet wurden, nachdem sie sich initialen Zugang zu VMware Horizon Servern verschafft und die berüchtigte Log4Shell-Sicherheitslücke.
Erkennung von Cheerscrypt Ransomware und Cobalt Strike Beacon Malware, verbreitet durch Emperor Dragonfly
Um Organisationen gegen die offensiven Fähigkeiten der Emperor Dragonfly-Hacker zu wappnen, hat SOC Prime kürzlich eine Reihe kuratierter Sigma-Regeln für die proaktive Erkennung der bösartigen Aktivitäten der Gruppe veröffentlicht. Diese Sigma-Regeln wurden von den Entwicklern unseres Threat Bounty Programms erstellt, Zaw Min Htun (ZETA) and und Chayanin, sind kompatibel mit den führenden SIEM-, EDR- und XDR-Plattformen und sind dem MITRE ATT&CK®-Frameworkzugeordnet.
Der von Zaw Min Htun (ZETA) geschriebene Erkennungsalgorithmus adressiert die Taktiken Initialer Zugang und Ausführung mit den entsprechenden ATT&CK-Techniken Exploit Öffentliche Anwendung (T1190) und Systemdienste (T1569), während die Sigma-Regel von Chayanin zur Erkennung von DLL-Side-Loading die Technik Hijack Execution Flow (T1574) aus dem Repertoire der Taktiken zur Verteidigungsevasion adressiert.
Klicken Sie auf die Erkunden Sie die Erkennungen -Schaltfläche unten, um sofort relevante Sigma-Regeln zu den Operationen der von China unterstützten Akteure von Emperor Dragonfly zu erreichen und den umfassenden Cyber-Bedrohungskontext zu erkunden.
Analyse der Angriffe von Emperor Dragonfly: Was steckt hinter den neuesten bösartigen Kampagnen chinesischer Hacker?
Von China unterstützte APT-Gruppen sind derzeit im Aufwind und in verschiedenen Cyber-Spionage-Kampagnen aktiv. Zu Beginn des Jahres 2022 waren mehrere chinesische Gruppen, einschließlich Bronze Starlight, auch bekannt als Emperor Dragonfly oder DEV-0401, für die Verbreitung des ShadowPad-Backdoorsverantwortlich. Letztere China-verbundene Gruppe wird auch den jüngsten bösartigen Kampagnen zugeschrieben, die neuartige Linux-basierte Cheerscrypt-Ransomware verbreiten. Cheerscrypt ist die neueste Ergänzung zu einer Vielzahl von Ransomware-Familien, die zuvor von den chinesischen Bedrohungsakteuren genutzt wurden, wie Atom Silo and LockBit 2.0zugeordnet.
Der Bericht von Sygnia , führenden Branchenexperten, hat kürzlich gegnerische Kampagnen aufgedeckt, die Cheerscrypt verteilen, und sie mit den von China unterstützten Bedrohungsakteuren verknüpft, die als Night Sky bekannt sind. Forscher schlagen vor, dass Cheerscrypt und Night Sky Umbenennungen derselben mit China in Verbindung gebrachten Gruppe sind, die als Emperor Dragonfly verfolgt wird.
Der Bericht von Trend Micro war der erste, der Licht auf Cheerscrypt warf, in welchem diese Ransomware-Variante, die auf VMware-ESXi-Server abzielt, mit dem durchgesickerten Babuk-Quellcode in Verbindung gebracht wurde.
In früheren Kampagnen, die bis Januar 2022 zurückgehen, waren die Betreiber der Emperor Dragonfly-Ransomware auch an der Verteilung verschlüsselter Cobalt Strike Beacons durch die Ausnutzung einer kritischen RCE-Zero-Day-Sicherheitslücke in Apache Log4j beteiligt, die als CVE-2021-44228 alias Log4Shell verfolgt wird. In dieser Kampagne setzten Bedrohungsakteure PowerShell ein, um die Infektion weiter zu verbreiten, was letztendlich zur Verteilung des Cobalt Strike Beacons führte. Die Verbreitung von Cheerscrypt kann auf Emperor Dragonfly zurückgeführt werden, basierend auf den Ähnlichkeiten in den beobachteten gegnerischen TTPs, einschließlich anfänglicher Zugangspfade, lateraler Bewegungsansätze und Verteilung von Cobalt Strike Beacons durch DLL-Side-Loading.
Was Emperor Dragonfly von anderen Ransomware-Betreibern unterscheidet, ist die Tatsache, dass sie die gesamte bösartige Kampagne selbst durchführen und dazu neigen, ihre Nutzlasten umzubenennen. Dies ermöglicht es ihnen, der Erkennung zu entgehen und stellt eine ernsthafte Bedrohung für Cyber-Verteidiger dar.
The SOC Prime Threat Bounty Program verbindet aufstrebende Bedrohungsforscher aus der ganzen Welt, die bestrebt sind, zur kollektiven Cybersicherheit beizutragen, indem sie industriellen Kollegen helfen, offensive Fähigkeiten zu übertreffen. Schließen Sie sich den Reihen unserer Crowdsourcing-Initiative an, indem Sie Ihre Sigma-Regeln erstellen, sie mit der Welt teilen und Ihren Beitrag monetarisieren.
