Detección del Ransomware Cheerscrypt: Hackers respaldados por China, Emperor Dragonfly también conocido como Bronze Starlight, están detrás de ataques cibernéticos continuos
Tabla de contenidos:
Investigadores de ciberseguridad han descubierto recientemente un nuevo ransomware Cheerscrypt basado en Linux. La entrega de cepas de ransomware se ha vinculado al grupo respaldado por China Emperor Dragonfly, también rastreado como Bronze Starlight. El colectivo de hackers también fue detectado en ataques cibernéticos anteriores propagando beacons de Cobalt Strike después de obtener acceso inicial a servidores VMware Horizon y explotar la infame vulnerabilidad Log4Shell.
Detectar las cepas de Malware Cheerscrypt Ransomware y Cobalt Strike Beacon Distribuidas por Emperor Dragonfly
Para ayudar a las organizaciones a resistir las capacidades ofensivas de los hackers de Emperor Dragonfly, la plataforma de SOC Prime ha lanzado recientemente un conjunto de reglas Sigma curadas para la detección proactiva de la actividad maliciosa del grupo. Estas reglas Sigma son creadas por nuestros desarrolladores del Programa Threat Bounty, Zaw Min Htun (ZETA) and Chayanin, y son compatibles con las plataformas SIEM, EDR y XDR líderes en la industria y están mapeadas con el marco MITRE ATT&CK®.
El algoritmo de detección escrito por Zaw Min Htun (ZETA) aborda las tácticas de Acceso Inicial y Ejecución con las técnicas ATT&CK correspondientes de Explotación de Aplicaciones Expuestas (T1190) y Servicios del Sistema (T1569), mientras que la regla Sigma de Chayanin para la detección de side-loading de DLL aborda la técnica de Secuestro de Flujo de Ejecución (T1574) del repertorio de tácticas de Evasión de Defensa.
Haga clic en el botón Explorar Detecciones a continuación para acceder instantáneamente a las reglas Sigma relacionadas con las operaciones adversarias de los actores respaldados por China de Emperor Dragonfly y explorar el contexto completo de amenazas cibernéticas.
Análisis del Ataque Emperor Dragonfly: Qué hay detrás de las Últimas Campañas Maliciosas de los Hackers Chinos
Los grupos APT respaldados por China están actualmente en aumento participando en diversas campañas de espionaje cibernético. A finales de 2022, varios grupos chinos, incluyendo Bronze Starlight también conocido como Emperor Dragonfly o DEV-0401, estaban detrás de la distribución del backdoor ShadowPad. El último grupo vinculado a China también se atribuye las campañas maliciosas más recientes que propagan el nuevo ransomware Cheerscrypt basado en Linux. Cheerscrypt es la última incorporación a una amplia gama de familias de ransomware utilizadas anteriormente por los actores de amenazas chinos, como Atom Silo and LockBit 2.0.
El informe de los expertos de la industria de Sygnia ha descubierto campañas adversarias recientes que distribuían Cheerscrypt y las ha vinculado a los actores de amenazas respaldados por China conocidos como Night Sky. Los investigadores sugieren que Cheerscrypt y Night Sky parecen ser marcas renovadas del mismo grupo vinculado a China rastreado como Emperor Dragonfly.
El informe de Trend Micro fue el primero en arrojar luz sobre Cheerscrypt, en el que se relacionó esta variante de ransomware que apunta a servidores VMware ESXi con el código fuente filtrado de Babuk.
En campañas anteriores que datan de enero de 2022, los operadores de ransomware Emperor Dragonfly también estuvieron involucrados en la entrega cifrada de beacons Cobalt Strike a través de la explotación de un RCE crítico de día cero en Apache Log4j rastreado como CVE-2021-44228 también conocido como Log4Shell. En esta campaña, los actores de amenazas aplicaron PowerShell para propagar la infección conduciente a la entrega del beacon Cobalt Strike. La distribución de Cheerscrypt se puede atribuir a Emperor Dragonfly basándose en las similitudes en los TTPs adversarios observados, incluidos los vectores de acceso inicial, los enfoques de movimiento lateral y la entrega de beacons Cobalt Strike utilizando side-loading de DLL.
Lo que hace que Emperor Dragonfly se destaque de otros operadores de ransomware es el hecho de que llevan a cabo toda la campaña maliciosa por sí mismos y tienden a cambiar la marca de sus cargas útiles. Esto les permite evadir la detección, representando una seria amenaza para los defensores cibernéticos.
The SOC Prime Threat Bounty Program conecta a investigadores de amenazas aspirantes de todo el mundo que se esfuerzan por contribuir a la defensa cibernética colectiva ayudando a sus pares de la industria a sobrepasar las capacidades ofensivas. Únase a las filas de nuestra iniciativa de crowdsourcing al crear sus reglas Sigma, compartirlas con el mundo y monetizar su contribución.
