Недавно компания Sygnia расследовала атаку Cheerscrypt ransomware, в которой использовалась технология Night Sky ransomware TTP. Дальнейший анализ показал, что Cheerscrypt и Night Sky являются ребрендами одной и той же группы угроз, названной Sygnia "Emperor Dragonfly".
Cheerscrypt Ransomware
Emperor Dragonfly (он же DEV-0401 / BRONZE STARLIGHT) использует инструменты с открытым исходным кодом, написанные китайскими разработчиками для китайских пользователей. Это подтверждает утверждения о том, что операторы вымогательского ПО "Emperor Dragonfly" базируются в Китае.
Вопреки общедоступной информации, программа Cheerscrypt ransomware использует полезную нагрузку, нацеленную на среды Windows и ESXi.
Недавно компания Sygnia расследовала инцидент, связанный с вымогательским ПО Cheerscrypt. В ходе расследования стало ясно, что субъекты угрозы успешно поддерживали свое присутствие во взломанной сети в течение нескольких месяцев. В ходе расследования наша группа реагирования на инциденты сделала важное открытие: тактика, техника и процедуры (ТТП), использовавшиеся в этой атаке, очень похожи на те, что применялись другой группой разработчиков вымогательского ПО - Night Sky.
Публично доступная информация о Cheerscrypt скудна и сосредоточена на конечной полезной нагрузке - самой программе-выкупе - и последующем шифровании серверов ESXi. Однако в данном инциденте серверы Windows также были зашифрованы вымогателем Cheerscrypt.
Sygnia решила исследовать исполнителей угроз, стоящих за этой атакой, в попытке приписать группу известному исполнителю. Хотя ранее было установлено, что Night Sky связана с другой угрожающей группой, Cheerscrypt была неизвестна.
Первоначальный доступ
В январе 2022 года сервер VMware Horizon был взломан злоумышленниками, использовавшими уязвимость Log4Shell (CVE-2021-4428). Вскоре после этого PowerShell был использован для выполнения разведывательных команд и связи с командно-контрольным (C&C) сервером. TTPs и конкретные IOCs этой стадии совпадают с опубликованной информацией о Night Sky ransomware.
Закрепление в сети
После успешной компрометации PowerShell использовался для загрузки трех файлов, состоящих из подписанного легитимного исполняемого файла, DLL и зашифрованного файла. Затем легитимный исполняемый файл был использован для побочной загрузки DLL, которая загружала и расшифровывала маяк Cobalt Strike.
Этот метод развертывания Cobalt Strike является известным TTP операторов Night Sky, и маяк был загружен с известного C&C-сервера Night Sky. Однако то, что Sygnia обнаружила дальше, было удивительным: параллельно с развертыванием маяка были также развернуты три инструмента, написанные на языке Go. Эти двоичные файлы были скомпилированы из проектов с открытым исходным кодом, созданных китайскими разработчиками, с документацией на английском и китайском языках. Эти двоичные файлы были идентифицированы как:
- Форк версии кейлоггера, который поддерживает загрузку журнала нажатий клавиш в облачный сервис хранения объектов Alibaba (Aliyun OSS).
- Настроенная версия 'IOX' - инструмента для переадресации портов и прокси. Судя по документации, IOX может работать как простой ShadowSocks (протокол шифрования с открытым исходным кодом, используемый в Китае для обхода интернет-цензуры, туннелирования под Великим брандмауэром), что свидетельствует о том, что целевая аудитория - китайцы.
- Настроенная версия 'NPS' - инструмента туннелирования, который был развернут вместе с IOX. Комбинация этих инструментов позволила субъектам угроз создать несколько соединений через один туннель.
Угрожающие лица использовали одну и ту же взломанную учетную запись пользователя для развертывания ударных маяков Cobalt и двоичных файлов Go. Эта учетная запись также использовалась для создания системной службы, которая функционировала как механизм сохранения инструментов Go.
Боковое перемещение
Угрожающие лица использовали инструмент с открытым исходным кодом Impacket для бокового перемещения и проведения разведывательных действий в сети путем удаленного выполнения кода. Для этого использовались два Python-модуля Impacket: 'SMBExec.py' и 'WMIExec.py'.
SMBExec также использовался для проверки того, что некоторые из Cobalt Strike Beacons все еще работают на взломанных системах.
В течение нескольких недель после первоначального проникновения в системы организации-жертвы таким же образом (используя папки для хранения и исполняемые файлы, ранее приписываемые Night Sky) были развернуты дополнительные маячки, взаимодействующие с новым сервером C&C, который ранее не был приписан к активности вымогательского ПО Night Sky.
Эксфильтрация данных и шифрование
На последних этапах атаки угрожающие лица использовали инструмент командной строки Rclone с открытым исходным кодом для эксфильтрации конфиденциальной информации в Mega, облачный сервис хранения данных.
Вскоре после этого угрожающие лица доставили финальную полезную нагрузку: Cheerscrypt ransomware. Хотя в большинстве публикаций Cheerscrypt описывается как семейство программ-вымогателей на базе Linux, нацеленных на серверы ESXi, в случае, расследованном Sygnia, зашифрованы были как машины Windows, так и ESXi.
Indicators of Compromise
IPv4
- 128.199.151.146
- 139.180.217.203
- 139.59.243.219
- 178.128.102.13
- 207.148.122.171
Domains
- api.rogerscorp.org
MD5
- 240118f6205effcb3a12455a81cfb1c7
- 2893d476408e23b7e8a65c6898fe43fa
- 37011eed9de6a90f3be3e1cbba6c5ab2
- 51be3e3a8101bc4298b43a64540c422b
- 5695de561a065123178067fcedf39ce3
- 5a6008cf994779cde1698a0e80bb817d
- 5a852305ffb7b5abeb39fcb9a37122ff
- 8161d8339411ddd6d99d54d3aefa2943
- c85a6814b99c8302af484563d47d9658
- e2904f5301b35b2722faf578d1f7a4d4
- e5fd4d5774ad97e5c04b69deae33dc9e
- ea4ca87315d14f5142aaef1f5e287417
- f0656e3a70ab0a10f8d054149f12c935
- f9322ead69300501356b13d751165daa