Cheerscrypt 랜섬웨어 탐지: 중국 배후 해커, Emperor Dragonfly 또는 Bronze Starlight, 지속적인 사이버 공격의 배후에 있다

사이버 보안 연구원들은 최근 Cheerscrypt Linux 기반 랜섬웨어를 새롭게 발견했습니다. 랜섬웨어 변종의 전달은 Emperor Dragonfly로 추적되는 중국 후원 그룹 Bronze Starlight과 관련이 있습니다. 이 해킹 집단은 과거 사이버 공격에서도 암호화된 Cobalt Strike 비콘을 VMware Horizon 서버에 초기 접근을 얻은 후 악명 높은 Log4Shell 취약점을.

Emperor Dragonfly가 확산한 Cheerscrypt 랜섬웨어 및 Cobalt Strike 비콘 악성코드 변종 탐지

Emperor Dragonfly 해커의 공격 능력에 맞서 조직을 돕기 위해, SOC Prime의 플랫폼은 최근 편집된 Sigma 규칙 세트를 출시했습니다. 이 Sigma 규칙은 우리 위협 현상금 프로그램 개발자인 Zaw Min Htun (ZETA)와 and Chayanin이 작성한 것으로, 업계 최고 SIEM, EDR, XDR 플랫폼과 호환되며 MITRE ATT&CK® 프레임워크에매핑되어 있습니다. 

Zaw Min Htun (ZETA)이 작성한 탐지 알고리즘은 Initial Access와 Execution 전술을 대응하며, Exploit Public-Facing Application (T1190) 및 System Services (T1569) ATT&CK 기술과 관련되고, Chayanin의 DLL 사이드 로딩 탐지를 위한 Sigma 규칙은 Defense Evasion 전술 레퍼토리의 Hijack Execution Flow (T1574) 기술을 대응합니다. 

아래의 탐지 탐색 버튼을 클릭하여 중국 후원 배우 Emperor Dragonfly의 적대적 행동과 관련된 Sigma 규칙에 즉시 도달하고 포괄적인 사이버 위협 맥락을 탐색하세요.

탐지 탐색

Emperor Dragonfly 공격 분석: 중국 해커의 최신 악성 캠페인의 배후

중국 후원 APT 그룹은 현재 다양한 사이버 스파이 활동에 참여하고 있습니다. 2022년 초, Bronze Starlight로도 알려진 Emperor Dragonfly 또는 DEV-0401가 ShadowPad 백도어분배의 배후에 있었습니다. 이후 중국과 연계된 그룹은 최신 악성 캠페인에서도 새로 발견된 Cheerscrypt Linux 기반 랜섬웨어를 확산하는 것으로 나타났습니다. Cheerscrypt는 이전에 중국 위협 행위자들이 사용한 다양한 랜섬웨어 패밀리, 예를 들어 Atom Silo and LockBit 2.0매핑되어 있습니다. 

와 같은 최신 추가 사항입니다. Sygnia 보고서에 따르면

업계 전문가들이 Cheerscrypt를 배포하는 최근의 적대적 캠페인을 공개했으며 이를 Night Sky로 알려진 중국 후원 위협 행위자들과 연결했습니다. 연구원들은 Cheerscrypt와 Night Sky가 Emperor Dragonfly로 추적되는 동일한 중국 연계 그룹의 재브랜드일 가능성이 있다고 제안합니다.  Trend Micro의 보고서

는 VMware ESXi 서버를 타겟으로 하는 이 랜섬웨어 변형과 유출된 Babuk 소스 코드와 관련이 있는 Cheerscrypt를 처음으로 조명했습니다. CVE-2021-44228 (소위 Log4Shell)로 추적된 Apache Log4j의 치명적인 RCE 제로데이를 악용하여, Emperor Dragonfly 랜섬웨어 운영자들은 2022년 1월로 거슬러 올라가는 이전 캠페인에서도 암호화된 Cobalt Strike 비콘 배포에 참여했습니다. 이 캠페인에서 위협 행위자들은 PowerShell을 적용하여 감염을 확산시키고 Cobalt Strike 비콘 배포로 이어졌습니다. Cheerscrypt의 배포는 초기 접근 벡터, 측면 움직임 접근 방법, DLL 사이드 로딩을 통한 Cobalt Strike 비콘 전달을 포함하여 관찰된 적대적 TTP의 유사성을 기반으로 Emperor Dragonfly에 기인할 수 있습니다.

Emperor Dragonfly가 다른 랜섬웨어 운영자와 차별화되는 점은 전체 악성 캠페인을 스스로 수행하고 페이로드를 재브랜드하는 경향이 있다는 것입니다. 이는 사이버 수비수들에게 심각한 위협을 제기하며 탐지를 회피할 수 있게 합니다. 

The SOC Prime 위협 현상금 프로그램 은 업계의 동료들이 공격 능력을 능가할 수 있도록 돕기 위해 전 세계의 열망하는 위협 연구원들을 연결합니다. Sigma 규칙을 작성하여 우리의 크라우드소싱 이니셔티브에 참여하고, 그것을 전 세계와 공유하며 기여도에 대한 보상을 받으세요.