Раскрыты операторы новой программы-вымогателя Cheerscrypt

Исследователи из ИБ-компании Sygnia приписали недавно обнаруженную программу-вымогатель Cheerscrypt китайской кибершпионской группировке Emperor Dragonfly, которая также известна как Bronze Starlight (Secureworks) и DEV-0401 (Microsoft).

Emperor Dragonfly развернула open source инструменты, которые были написаны китайскими разработчиками для китайских пользователей. По словам Sygnia, это подтверждает то, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.

Помимо Cheerscrypt за 1 год группировка использовала семейства программ-вымогателей LockFile , AtomSilo , Rook , Night Sky , Pandora и LockBit 2.0 . Secureworks отметила , что Bronze Starlight использует программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды, а основной целью атак является кража интеллектуальной собственности или шпионаж.

Также исследователи предположили, что это проукраинская группировка , поскольку она размещает украинские политические лозунги на своем сайте утечки в даркнете.

Стоит отметить, что основу семейств Rook, Night Sky и Pandora составляет программа Babuk . Цепочки заражения, наблюдаемые на сегодняшний день, используют уязвимость Log4Shell для компрометации серверов VMware Horizon и запуска вредоносных PowerShell скриптов , чтобы доставлять зашифрованный маяк Cobalt Strike.

Цепочка атак Emperor Dragonfly

Эксперты Sygnia также обнаружили 3 дополнительных инструмента на основе Go, развернутых в тандеме с маяком:

• кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud;
• утилиту интернет-прокси iox;
• ПО для туннелирования NPS.

Связи Cheerscrypt с Emperor Dragonfly основаны на сходстве начальных векторов доступа, методов бокового перемещения и развертывания зашифрованного маяка Cobalt Strike с помощью техники боковой загрузки DLL (DLL Sideloading).