Rilevamento del Ransomware Cheerscrypt: Hacker Supportati dalla Cina, Emperor Dragonfly aka Bronze Starlight, Sono Dietro i Cyber Attacchi in Corso

[post-views]
Ottobre 05, 2022 · 4 min di lettura
Rilevamento del Ransomware Cheerscrypt: Hacker Supportati dalla Cina, Emperor Dragonfly aka Bronze Starlight, Sono Dietro i Cyber Attacchi in Corso

I ricercatori di cybersecurity hanno recentemente scoperto nuovi ransomware basati su Linux chiamati Cheerscrypt. La distribuzione di questi strain di ransomware è stata collegata al gruppo Emperor Dragonfly supportato dalla Cina, noto anche come Bronze Starlight. Il collettivo di hacker è stato avvistato anche in attacchi informatici precedenti diffondendo beacon Cobalt Strike dopo aver ottenuto l’accesso iniziale ai server VMware Horizon ed essersi avvalsi della nota vulnerabilità Log4Shell.

Rileva i ceppi di ransomware Cheerscrypt e il malware Cobalt Strike Beacon diffusi da Emperor Dragonfly

Per aiutare le organizzazioni a resistere alle capacità offensive degli hacker Emperor Dragonfly, la piattaforma di SOC Prime ha recentemente rilasciato un set selezionato di regole Sigma per la rilevazione proattiva dell’attività malevola del gruppo. Queste regole Sigma realizzate dai nostri sviluppatori del Threat Bounty Program, Zaw Min Htun (ZETA) and e Chayanin, sono compatibili con le piattaforme SIEM, EDR e XDR leader del settore e sono mappate al framework MITRE ATT&CK®. 

L’algoritmo di rilevamento scritto da Zaw Min Htun (ZETA) affronta le tattiche di Accesso Iniziale ed Esecuzione con le corrispondenti tecniche ATT&CK Exploit Public-Facing Application (T1190) e System Services (T1569), mentre la regola Sigma di Chayanin per il rilevamento del DLL side-loading affronta la tecnica Hijack Execution Flow (T1574) dal repertorio delle tattiche di Evasione Difensiva. 

Fai clic sul pulsante Esplora Rilevamenti qui sotto per accedere istantaneamente alle regole Sigma pertinenti alle operazioni avversarie degli attori Emperor Dragonfly supportati dalla Cina ed esplorare il contesto completo delle minacce informatiche.

Esplora Rilevamenti

Analisi degli attacchi di Emperor Dragonfly: Cosa si cela dietro le ultime campagne malevole degli hacker cinesi

I gruppi APT supportati dalla Cina sono attualmente in crescita, coinvolti in diverse campagne di spionaggio informatico. All’inizio del 2022, diversi gruppi cinesi, inclusi Bronze Starlight noto anche come Emperor Dragonfly o DEV-0401, erano dietro la distribuzione del backdoor ShadowPad. Quest’ultimo gruppo legato alla Cina è anche attribuito alle più recenti campagne malevole che diffondono il nuovo ransomware basato su Linux Cheerscrypt. Cheerscrypt è l’ultima aggiunta a una vasta gamma di famiglie di ransomware precedentemente utilizzate dagli attori della minaccia cinese, come Atom Silo and e LockBit 2.0.. 

Il rapporto degli esperti del settore di Sygnia ha scoperto recenti campagne avversarie che distribuiscono Cheerscrypt e le ha collegate agli attori della minaccia supportati dalla Cina conosciuti come Night Sky. I ricercatori suggeriscono che Cheerscrypt e Night Sky appaiano come rebrand dello stesso gruppo legato alla Cina tracciato come Emperor Dragonfly. 

Il rapporto di Trend Micro è stato il primo a fare luce su Cheerscrypt, nel quale questa variante di ransomware che mira ai server VMware ESXi era correlata al codice sorgente trapelato di Babuk.

In campagne precedenti risalenti a gennaio 2022, gli operatori del ransomware Emperor Dragonfly erano anche coinvolti nella consegna di beacon Cobalt Strike criptati sfruttando una zero-day RCE critica in Apache Log4j tracciata come CVE-2021-44228 alias Log4Shell. In questa campagna, gli attori della minaccia applicavano PowerShell per diffondere ulteriormente l’infezione portando alla consegna di Cobalt Strike Beacon. La distribuzione di Cheerscrypt può essere attribuita a Emperor Dragonfly basandosi sulle somiglianze nei TTP osservati avversari, includendo i vettori di accesso iniziale, gli approcci di movimento laterale e la consegna di beacon Cobalt Strike usando il DLL side-loading.

Ciò che rende Emperor Dragonfly distintivo rispetto ad altri operatori di ransomware è il fatto che conducono l’intera campagna malevola da soli e tendono a rebrandizzare i loro payload. Questo consente loro di evadere il rilevamento, rappresentando una seria minaccia per i difensori cyber. 

The Il Programma SOC Prime Threat Bounty collega aspiranti ricercatori di minacce da tutto il mondo che si impegnano a contribuire alla difesa cibernetica collettiva aiutando i pari del settore a superare le capacità offensive. Partecipate al nostro programma di iniziativa crowdsourced creando le vostre regole Sigma, condividendole con il mondo e monetizzando il vostro contributo.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento del Ransomware Interlock: Allerta Congiunta di FBI e CISA sugli Attacchi su Larga Scala tramite ClickFix 4 min di lettura Ultime Minacce Rilevamento del Ransomware Interlock: Allerta Congiunta di FBI e CISA sugli Attacchi su Larga Scala tramite ClickFix by Veronika Telychko Rilevamento ransomware Interlock: distribuita nuova variante RAT basata su PHP tramite FileFix 5 min di lettura Ultime Minacce Rilevamento ransomware Interlock: distribuita nuova variante RAT basata su PHP tramite FileFix by Veronika Telychko Individuazione del Ransomware BERT: Attacchi in Asia, Europa e USA su Sistemi Windows e Linux 6 min di lettura Ultime Minacce Individuazione del Ransomware BERT: Attacchi in Asia, Europa e USA su Sistemi Windows e Linux by Veronika Telychko
Tutte le notizie