Ερευνητές ασφαλείας ανακάλυψαν ένα στέλεχος malware (το οποίο ονόμασαν SilkLoader) που χρησιμοποιείται για να φορτώσει Cobalt Strike beacons στις συσκευές θυμάτων και χρησιμοποιείται από Κινέζους και Ρώσους hackers.
Σε μια πρόσφατη μελέτη, η φινλανδική εταιρεία ασφάλειας WithSecure ανέφερε ότι εντόπισε το “SilkLoader” malware σε πολλαπλές διεισδύσεις human-operated, οι οποίες ήταν πιθανότατα το πρώτο βήμα σε μια επικείμενη επίθεση ransomware.
Δείτε επίσης: Στη Βουλγαρία, τα ρωσικά τρολ κερδίζουν τον πόλεμο της πληροφορίας
Το κακόβουλο λογισμικό χρησιμοποιεί DLL sideloading για να φορτώσει τα beacons, τα οποία χρησιμοποιούνται συνήθως σε τέτοιες επιθέσεις ως μέρος της υποδομής command-and-control (C2), για τη λήψη πρόσθετων κακόβουλων payloads σε στοχευμένα μηχανήματα.
 που χρησιμοποιείται από Κινέζους και Ρώσους hackers){kind=link}
Ωστόσο, αυτό που έκανε περισσότερη εντύπωση στους ερευνητές είναι ότι μάλλον οι Κινέζοι παράγοντες απειλών πούλησαν ή έδωσαν το SilkLoader και άλλα προϊόντα τους σε Ρώσους hackers.
Η εταιρεία είπε ότι πριν από το καλοκαίρι του 2022, το loader χρησιμοποιούνταν αποκλειστικά από τους πρώτους εναντίον στόχων στο Χονγκ Κονγκ, στην Κίνα και αλλού στην περιοχή. Τον Ιούλιο, οι δραστηριότητες μειώθηκαν. Μερικούς μήνες αργότερα, το malware επανεμφανίστηκε σε επιθέσεις εναντίον διαφορετικών στόχων σε διαφορετικές χώρες (π.χ. Ταϊβάν, Βραζιλία και Γαλλία).
“Πιστεύουμε ότι το SilkLoader διανέμεται επί του παρόντος στο ρωσικό οικοσύστημα εγκλήματος στον κυβερνοχώρο ως off-the-shelf loader μέσω ενός προγράμματος Packer-as-a-Service σε ομάδες ransomware ή πιθανώς μέσω ομάδων που προσφέρουν Cobalt Strike/Infrastructure-as-a-Service σε αξιόπιστους συνεργάτες“, δήλωσε ο ερευνητής της WithSecure Intelligence, Mohammad Kazem Hassan Nejad.
Δείτε επίσης: Το ransomware MeowCorp που βασίζεται στο Conti αποκτά δωρεάν decryptor
“Οι περισσότεροι από τους affiliates φαίνεται ότι ήταν μέρος ή είχαν στενές εργασιακές σχέσεις με την ομάδα Conti, τα μέλη και τους “απογόνους” της μετά την υποτιθέμενη διακοπή λειτουργίας της“.
Το ίδιο το εργαλείο είναι το πιο πρόσφατο παράδειγμα που δείχνει ότι οι κυβερνοεγκληματίες καινοτομούν για να παραμείνουν ένα βήμα μπροστά από τους υπερασπιστές δικτύων. Στην περίπτωση του Cobalt Strike, το εργαλείο είναι τόσο γνωστό που τα αμυντικά μέτρα συνήθως ανιχνεύουν και περιορίζουν την απειλή.
Ωστόσο, σύμφωνα με τον Nejad, οι επιτιθέμενοι προσθέτουν επίπεδα πολυπλοκότητας στο περιεχόμενο του αρχείου και το εκτελούν μέσω μιας γνωστής εφαρμογής (π.χ. VLC Media Player) μέσω sideloading, ελπίζοντας ότι θα αποφύγουν τους αμυντικούς μηχανισμούς.
Αυτό που μας δείχνει το SilkLoader malware loader, δεν είναι ότι ανακαλύφθηκε ένα ακόμα κακόβουλο πρόγραμμα, αλλά ότι οι κυβερνοεγκληματίες μοιράζονται τα εργαλεία τους για να στοχεύουν χρήστες και οργανισμούς σε όλο τον κόσμο. Το έγκλημα στον κυβερνοχώρο γίνεται όλο και πιο παγκόσμιο.
Υπήρχαν πάντα γλωσσικά και πολιτιστικά εμπόδια που δυσκόλευσαν την ανταλλαγή πληροφοριών μεταξύ κινεζικών και ρωσικών ομάδων, αλλά αυτό μπορεί τώρα να αλλάζει.
Δείτε επίσης: Η ομάδα ransomware BianLian επικεντρώνεται στην εκβιαστική κλοπή δεδομένων
“Σε αυτή την περίπτωση, είναι πιο πιθανό ο δημιουργός να ήταν ένας ανεξάρτητος coder που πούλησε το εργαλείο του σε ένα underground forum“, ισχυρίστηκε η έκθεση. “Τέτοια components μπορούν και πωλούνται ή παραδίδονται σε άλλες ομάδες όταν η κατάσταση ευνοεί μια τέτοια συναλλαγή“.
Οι επιθέσεις στον κυβερνοχώρο αποτελούν ένα από τα μεγαλύτερα προβλήματα στο σημερινό ψηφιακό κόσμο και μπορούν να προκαλέσουν τεράστια προβλήματα στις επιχειρήσεις – από οικονομικές απώλειες μέχρι ζημιά στη φήμη που προκύπτει από μια παραβίαση των δεδομένων των πελατών!
Πηγή: www.infosecurity-magazine.com