Çin ve Kuzey Kore ile bağları olduğundan şüphelenilen tehdit aktörlerinin, 2021 ile 2023 yılları arasında dünya genelinde hükümetleri ve kritik altyapı sektörlerini hedef alan fidye yazılımı ve veri şifreleme saldırılarıyla bağlantısı olduğu belirlendi.
Siber güvenlik firmaları SentinelOne ve Recorded Future, The Hacker News ile paylaşılan ortak bir raporda, bir faaliyet kümesinin ChamelGang (diğer adıyla CamoFei) ile ilişkilendirilirken, ikinci kümenin daha önce Çin ve Kuzey Kore devlet destekli gruplara atfedilen faaliyetlerle örtüştüğünü söyledi. .
Buna ChamelGang’ın 2022’de CatB fidye yazılımını kullanarak Tüm Hindistan Tıp Bilimleri Enstitüsü’ne (AIIMS) ve Brezilya Başkanlığı’na yönelik saldırılarının yanı sıra Doğu Asya’daki bir hükümet kuruluşunu ve Hindistan alt kıtasındaki bir havacılık kuruluşunu hedef alan saldırıları da dahildir.
Güvenlik araştırmacıları Aleksandar Milenkoski ve Julian, “Siber casusluk ekosistemindeki tehdit aktörleri, fidye yazılımını finansal kazanç, kesinti, dikkat dağıtma, yanlış ilişkilendirme veya kanıtları ortadan kaldırma amacıyla operasyonlarının son aşaması olarak kullanmak gibi giderek daha rahatsız edici bir eğilime giriyor.” -Ferdinand Vögele dedi.
Bu bağlamdaki fidye yazılımı saldırıları yalnızca sabotaj için bir çıkış noktası görevi görmekle kalmıyor, aynı zamanda tehdit aktörlerinin, savunucuları varlıklarına karşı uyarabilecek eserleri yok ederek izlerini gizlemelerine de olanak tanıyor.
İlk olarak 2021’de Positive Technologies tarafından belgelenen ChamelGang’ın, istihbarat toplama, veri hırsızlığı, mali kazanç, hizmet reddi saldırıları (DoS) saldırıları ve bilgi operasyonları gibi çeşitli motivasyonlarla faaliyet gösteren Çin bağlantılı bir grup olduğu değerlendiriliyor. Tayvanlı siber güvenlik firması TeamT5’e.
Cephaneliğinde BeaconLoader, Cobalt Strike, AukDoor ve DoorMe gibi arka kapılar ve Brezilya ve Hindistan’ı hedef alan saldırılarda kullanıldığı tespit edilen CatB olarak bilinen bir fidye yazılımı türü de dahil olmak üzere çok çeşitli araçlara sahip olduğu biliniyor. fidye notu, iletişim e-posta adresinin biçimi, kripto para birimi cüzdan adresi ve şifrelenmiş dosyaların dosya adı uzantısı.
2023’te gözlemlenen saldırılarda, keşif ve ek araçların düşürülmesi ve NTDS.dit veritabanı dosyasının dışarı sızdırılması gibi istismar sonrası faaliyetler için Cobalt Strike’ı sunmak amacıyla BeaconLoader’ın güncellenmiş sürümünden de yararlanıldı.
Ayrıca, DoorMe ve MGDrive (macOS varyantı Gimmick olarak adlandırılır) gibi ChamelGang tarafından kullanıma sunulan özel kötü amaçlı yazılımların, REF2924 ve Storm Cloud gibi diğer Çinli tehdit gruplarıyla da bağlantılı olduğunu ve bir kez daha bir saldırı olasılığına işaret ettiğini belirtmekte fayda var. “farklı operasyonel gruplara kötü amaçlı yazılım sağlayan dijital malzeme sorumlusu.”
Diğer izinsiz girişler arasında Jetico BestCrypt ve Microsoft BitLocker’ın Kuzey Amerika, Güney Amerika ve Avrupa’daki çeşitli sektörleri etkileyen siber saldırılarda kullanılması yer alıyor. Başta ABD imalat sektörü olmak üzere 37 kadar kuruluşun hedef alındığı tahmin ediliyor.
İki siber güvenlik şirketine göre gözlemlenen taktik kümesi, China Chopper web kabuğu ve DTrack olarak bilinen bir arka kapı gibi araçların varlığı nedeniyle, APT41 adlı Çinli bir bilgisayar korsanlığı ekibine ve Andariel olarak bilinen Kuzey Koreli bir aktöre atfedilenlerle tutarlıdır. .
Araştırmacılar, “Fidye yazılımı faaliyetleri olarak gizlenen siber casusluk operasyonları, düşman ülkelere, eylemleri devlet destekli kuruluşlar yerine bağımsız siber suç aktörlerine atfederek makul inkar edilebilirlik iddiasında bulunma fırsatı sunuyor” dedi.
“Siber casusluk tehdit grupları tarafından fidye yazılımının kullanılması, siber suç ile siber casusluk arasındaki çizgiyi bulanıklaştırıyor ve düşmanlara hem stratejik hem de operasyonel açıdan avantajlar sağlıyor.”