Detecção do Ransomware Cheerscrypt: Hackers Apoiados pela China, Emperor Dragonfly também conhecido como Bronze Starlight, Estão por Trás de Ataques Cibernéticos Contínuos

[post-views]
Outubro 05, 2022 · 4 min de leitura
Detecção do Ransomware Cheerscrypt: Hackers Apoiados pela China, Emperor Dragonfly também conhecido como Bronze Starlight, Estão por Trás de Ataques Cibernéticos Contínuos

Pesquisadores de cibersegurança descobriram recentemente um novo ransomware baseado em Linux, Cheerscrypt. A entrega de variantes de ransomware foi ligada ao grupo apoiado pela China, Emperor Dragonfly, também rastreado como Bronze Starlight. O coletivo de hackers também foi visto em ataques cibernéticos anteriores espalhando beacons de Cobalt Strike criptografados após obter acesso inicial aos servidores VMware Horizon e explorar a infame vulnerabilidade Log4Shell ..

Detecte Cepas de Malware Cheerscrypt Ransomware e Cobalt Strike Beacon Espalhadas pelo Emperor Dragonfly

Para ajudar as organizações a resistirem às capacidades ofensivas dos hackers Emperor Dragonfly, a plataforma da SOC Prime lançou recentemente um conjunto de regras Sigma curadas para a detecção proativa da atividade maliciosa do grupo. Essas regras Sigma elaboradas por nossos desenvolvedores do Programa de Recompensa de Ameaças, Zaw Min Htun (ZETA) and ee , são compatíveis com as plataformas líderes do setor SIEM, EDR e XDR e estão mapeadas para oframework MITRE ATT&CK®.

O algoritmo de detecção escrito por Zaw Min Htun (ZETA) aborda as táticas de Acesso Inicial e Execução com as técnicas correspondentes Exploit Public-Facing Application (T1190) e System Services (T1569) do ATT&CK, enquanto a regra Sigma de Chayanin para deteção de carregamento lateral de DLL aborda a técnica Hijack Execution Flow (T1574) do repertório de táticas de Evasão de Defesa.

Clique no botão Explore Detections abaixo para acessar instantaneamente regras Sigma relevantes relacionadas às operações dos atores apoiados pela China, Emperor Dragonfly, e explorar o contexto abrangente de ameaças cibernéticas.

Explore Detections

Análise de Ataques Emperor Dragonfly: O Que Está Por Trás das Últimas Campanhas Maliciosas de Hackers Chineses

Grupos APT apoiados pela China estão atualmente em ascensão, envolvidos em diversas campanhas de espionagem cibernética. No início de 2022, múltiplos grupos chineses, incluindo Bronze Starlight, também conhecido como Emperor Dragonfly ou DEV-0401, estavam por trás da distribuição do backdoor ShadowPad. O último grupo ligado à China também é atribuído às campanhas maliciosas mais recentes espalhando o novo ransomware baseado em Linux, Cheerscrypt. Cheerscrypt é a mais recente adição a uma ampla gama de famílias de ransomware anteriormente aproveitadas pelos atores de ameaça chineses, como Atom Silo and e LockBit 2.0.framework MITRE ATT&CK®.

O relatório da Sygnia por especialistas da indústria descobriu campanhas adversárias recentes distribuindo Cheerscrypt e as vinculou aos atores de ameaça apoiados pela China conhecidos como Night Sky. Pesquisadores sugerem que Cheerscrypt e Night Sky parecem ser rebrands do mesmo grupo ligado à China, rastreado como Emperor Dragonfly.

O relatório da Trend Micro foi o primeiro a lançar luz sobre o Cheerscrypt, no qual esta variante de ransomware direcionada a servidores VMware ESXi estava relacionada ao código-fonte vazado do Babuk.

Em campanhas anteriores, datando de janeiro de 2022, operadores de ransomware Emperor Dragonfly também estavam envolvidos na entrega criptografada de beacons de Cobalt Strike através da exploração de uma RCE crítica zero-day no Apache Log4j rastreada como CVE-2021-44228 também conhecida como Log4Shell. Nesta campanha, os atores de ameaças aplicaram PowerShell para espalhar ainda mais a infecção, levando à entrega do Cobalt Strike Beacon. A distribuição do Cheerscrypt pode ser atribuída ao Emperor Dragonfly com base nas semelhanças nos TTPs adversários observados, incluindo vetores de acesso inicial, abordagens de movimentação lateral e a entrega de beacons de Cobalt Strike usando carregamento lateral de DLL.

O que faz o Emperor Dragonfly se destacar de outros operadores de ransomware é o fato de que eles conduzem toda a campanha maliciosa por conta própria e tendem a rebrandear suas cargas úteis. Isso permite que eles evitem a detecção, representando uma ameaça séria para os defensores cibernéticos.

The Programa de Recompensa de Ameaças da SOC Prime conecta aspirantes a pesquisadores de ameaças de todo o mundo que se esforçam para contribuir para a defesa cibernética coletiva, ajudando seus colegas da indústria a superar as capacidades ofensivas. Faça parte da nossa iniciativa de crowdsourcing criando suas próprias regras Sigma, compartilhando-as com o mundo e monetizando sua contribuição.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix 5 min de leitura Ameaças Mais Recentes Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix by Veronika Telychko Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix 5 min de leitura Ameaças Mais Recentes Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix by Veronika Telychko Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux 6 min de leitura Ameaças Mais Recentes Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux by Veronika Telychko
Todas as notícias