Cheerscryptランサムウェアの検出：中国支援のハッカー、Emperor DragonflyまたはBronze Starlightとして知られる者が継続的なサイバー攻撃の背後に

サイバーセキュリティ研究者は最近、Linuxベースの新しいCheerscryptランサムウェアを発見しました。ランサムウェアの配信は、Bronze Starlightとしても追跡される中国支援のグループEmperor Dragonflyに関連付けられています。このハッカー集団は、以前のサイバー攻撃で暗号化されたCobalt Strikeビーコンを広げる際にも見られました。 Cobalt Strikeビーコンを 初期アクセスを得た後、VMware Horizonサーバーにアクセスし、悪名高い Log4Shellの脆弱性を悪用して.

CheerscryptランサムウェアとCobalt Strikeビーコンマルウェア起動の検出: Emperor Dragonflyによる拡散

Emperor Dragonflyハッカーの攻撃能力に対抗するため、SOC Primeのプラットフォームは最近、選りすぐりの Sigmaルール をリリースしました。これらのSigmaルールは、弊社のThreat Bounty Program開発者、 Zaw Min Htun (ZETA) and Chayaninによって作成されており、業界トップのSIEM、EDR、XDRプラットフォームと互換性があり、 MITRE ATT&CK®フレームワークに紐付けられています。

Zaw Min Htun (ZETA)によって書かれた検出アルゴリズムは、初期アクセスと実行の戦術を、対応する攻撃手法のExploit Public-Facing Application (T1190)およびSystem Services (T1569)と共に扱います。一方、ChayaninによるDLLサイドローディング検出のSigmaルールは、攻撃回避の戦術レパートリーからHijack Execution Flow (T1574)技術に対応します。

下の Explore Detections ボタンをクリックして、Emperor Dragonfly中国支援アクターの敵対活動に関連する関連Sigmaルールに即座にアクセスし、包括的なサイバー脅威コンテキストを調査してください。

Explore Detections

Emperor Dragonfly攻撃分析：中国のハッカーによる最新の悪意あるキャンペーンの背後にあるものは何か

中国支援のAPTグループは現在、様々なサイバー諜報キャンペーンに従事して急増しています。2022年の変わり目に、Bronze Starlightとしても知られるEmperor DragonflyやDEV-0401を含む複数の中国グループが、 ShadowPadバックドアの配布の背後にありました。この中国に関連するグループは、最近の悪意あるキャンペーンでLinuxベースの新しいCheerscryptランサムウェアを広げたことでも知られています。Cheerscryptは、以前中国の脅威アクターによって活用された幅広いランサムウェアファミリーへの最新の追加です。 Atom Silo and LockBit 2.0

Sygniaの 業界の専門家による報告は、最近の敵対キャンペーンを明らかにし、Cheerscryptの配布を中国支援の脅威アクターであるNight Skyに関連付けました。研究者は、CheerscryptとNight Skyが、Emperor Dragonflyとして追跡されている同じ中国に関連するグループのリブランドである可能性があることを示唆しています。

Trend Microによる報告 は、Cheerscryptに光を当てた最初のものであり、VMware ESXiサーバーをターゲットにするこのランサムウェアバリアントが、漏洩したBabukのソースコードに関連していることが報告されました。

2022年1月に遡るキャンペーンでは、Emperor Dragonflyランサムウェアのオペレーターも、Apache Log4jの重大なRCEゼロデイを悪用して追跡される CVE-2021-44228 通称Log4Shellを利用して、暗号化されたCobalt Strikeビーコンを配送していました。このキャンペーンでは、脅威役者はPowerShellを適用して感染をさらに広げ、Cobalt Strike Beaconの配送へと至りました。Cheerscryptの配布は、 観察された敵対者のTTPに基づき、初期アクセスベクトル、横方向移動アプローチ、およびDLLサイドローディングを使用したCobalt Strikeビーコンの配送を含めて、Emperor Dragonflyに帰因できます。

Emperor Dragonflyが他のランサムウェアオペレーターと際立っているのは、彼らが悪意のあるキャンペーンを全て自分たちで実行し、そのペイロードをリブランドする傾向があるという事実です。これにより、検出を回避し、サイバー防御者にとって深刻な脅威をもたらします。

The SOC Prime Threat Bounty Program は、業界の仲間が攻撃能力を上回るのを助けながら、集団的なサイバー防衛に貢献しようとする世界中の新進の脅威研究者を結びつけます。Sigmaルールを作成し、それを世界と共有し、貢献を収益化することで、私たちのクラウドソースの取り組みに参加してください。