Détection du Ransomware Cheerscrypt : Les Hackers Soutenus par la Chine, Emperor Dragonfly alias Bronze Starlight, Sont Derrière des Cyberattaques en Cours
Table des matières :
Les chercheurs en cybersécurité ont récemment découvert un nouveau ransomware basé sur Linux appelé Cheerscrypt. La diffusion de souches de ransomware a été liée au groupe soutenu par la Chine Emperor Dragonfly, également suivi sous le nom de Bronze Starlight. Le collectif de hackers a également été repéré dans des cyberattaques antérieures répandant des balises Cobalt Strike chiffrées après avoir obtenu un accès initial aux serveurs VMware Horizon et exploité la célèbre after gaining initial access to VMware Horizon servers and exploiting the infamous vulnérabilité Log4Shell.
Détecter les souches de ransomware Cheerscrypt et de malwares Beacon Cobalt Strike propagées par Emperor Dragonfly
Pour aider les organisations à résister aux capacités offensives des hackers Emperor Dragonfly, la plateforme de SOC Prime a récemment publié un ensemble de règles Sigma pour la détection proactive de l’activité malveillante du groupe. Ces règles Sigma, élaborées par nos développeurs du Programme Threat Bounty, Zaw Min Htun (ZETA) and Chayanin, sont compatibles avec les plateformes SIEM, EDR, et XDR de pointe et sont mappées au cadre MITRE ATT&CK®.
L’algorithme de détection écrit par Zaw Min Htun (ZETA) aborde les tactiques d’accès initial et d’exécution avec les techniques ATT&CK correspondantes d’exploitation d’application exposée au public (T1190) et de services système (T1569) tandis que la règle Sigma de Chayanin pour la détection de DLL side-loading adresse la technique d’Hijack Execution Flow (T1574) du répertoire de tactique d’évasion de défense.
Cliquez sur le bouton Explore Detections ci-dessous pour accéder instantanément aux règles Sigma pertinentes liées aux opérations adverses des acteurs soutenus par la Chine Emperor Dragonfly et explorer le contexte global de la menace cyber.
Analyse des attaques d’Emperor Dragonfly : Ce qui se cache derrière les dernières campagnes malveillantes des hackers chinois
Les groupes APT soutenus par la Chine sont actuellement en hausse, engagés dans diverses campagnes de cyberespionnage. Au tournant de 2022, plusieurs groupes chinois, y compris Bronze Starlight également connu sous le nom d’Emperor Dragonfly ou DEV-0401, étaient à l’origine de la distribution du cheval de Troie ShadowPad. Ce dernier groupe lié à la Chine est également attribué aux campagnes malveillantes les plus récentes diffusant le nouveau ransomware basé sur Linux appelé Cheerscrypt. Cheerscrypt est le dernier ajout à une large gamme de familles de ransomwares précédemment utilisées par les acteurs de la menace chinois, comme Atom Silo and LockBit 2.0.
Le rapport des experts de l’industrie Sygnia a révélé les campagnes adverses récentes distribuant Cheerscrypt et les a liées aux acteurs de la menace soutenus par la Chine connus sous le nom de Night Sky. Les chercheurs suggèrent que Cheerscrypt et Night Sky semblent être des rebrands du même groupe lié à la Chine suivi sous le nom d’Emperor Dragonfly.
Le rapport de Trend Micro a été le premier à mettre en lumière Cheerscrypt, où cette variante de ransomware ciblant les serveurs VMware ESXi a été reliée au code source de Babuk ayant fuité.
Dans les campagnes antérieures remontant à janvier 2022, les opérateurs de ransomware Emperor Dragonfly étaient également impliqués dans la livraison de balises Cobalt Strike chiffrées par le biais de l’exploitation d’une faille critique de RCE zero-day dans Apache Log4j suivi comme CVE-2021-44228 également connu sous le nom de Log4Shell. Dans cette campagne, les acteurs de la menace ont appliqué PowerShell pour propager l’infection, menant plus loin à la livraison de la balise Cobalt Strike. La distribution de Cheerscrypt peut être attribuée à Emperor Dragonfly sur la base des similarités dans les TTP adverses observés, y compris les vecteurs d’accès initial, les approches de mouvement latéral, et la livraison de balises Cobalt Strike en utilisant le chargement de DLL.
Ce qui distingue Emperor Dragonfly des autres opérateurs de ransomware est le fait qu’ils mènent toute la campagne malveillante par eux-mêmes et tendent à renommer leurs charges utiles. Cela leur permet d’échapper à la détection, posant une menace sérieuse aux défenseurs du cyberespace.
The Programme SOC Prime Threat Bounty connecte les chercheurs en menaces en herbe du monde entier s’efforçant de contribuer à la défense cyber collective en aidant les pairs de l’industrie à devancer les capacités offensives. Imprégnez-vous des rangs de notre initiative participative en élaborant vos règles Sigma, en les partageant avec le monde, et en monétisant votre contribution.
