Bedreigingsactoren met vermoedelijke banden met China en Noord-Korea zijn tussen 2021 en 2023 in verband gebracht met ransomware- en data-encryptie-aanvallen gericht op overheden en kritieke infrastructuursectoren over de hele wereld.
Hoewel één cluster van activiteiten in verband wordt gebracht met de ChamelGang (ook bekend als CamoFei), overlapt het tweede cluster met activiteiten die eerder werden toegeschreven aan Chinese en Noord-Koreaanse door de staat gesponsorde groepen, zeiden cyberbeveiligingsbedrijven SentinelOne en Recorded Future in een gezamenlijk rapport gedeeld met The Hacker News. .
Dit omvat de aanvallen van ChamelGang gericht op het All India Institute of Medical Sciences (AIIMS) en het presidentschap van Brazilië in 2022 met behulp van CatB-ransomware, maar ook op een overheidsinstantie in Oost-Azië en een luchtvaartorganisatie op het Indiase subcontinent.
“Dreigingsactoren in het cyberspionage-ecosysteem zijn betrokken bij een steeds verontrustende trend waarbij ze ransomware gebruiken als laatste fase in hun activiteiten met als doel financieel gewin, verstoring, afleiding, verkeerde toeschrijving of verwijdering van bewijsmateriaal”, aldus beveiligingsonderzoekers Aleksandar Milenkoski en Julian. -Ferdinand Vögele zei.
Ransomware-aanvallen dienen in deze context niet alleen als uitlaatklep voor sabotage, maar stellen dreigingsactoren ook in staat hun sporen te verbergen door artefacten te vernietigen die verdedigers anders op hun aanwezigheid zouden kunnen wijzen.
ChamelGang, voor het eerst gedocumenteerd door Positive Technologies in 2021, wordt beschouwd als een Chinese nexusgroep die opereert met uiteenlopende motieven als het verzamelen van inlichtingen, gegevensdiefstal, financieel gewin, denial-of-service (DoS)-aanvallen en informatieoperaties. aan het Taiwanese cyberbeveiligingsbedrijf TeamT5.
Het is bekend dat het een breed scala aan tools in zijn arsenaal heeft, waaronder BeaconLoader, Cobalt Strike, backdoors zoals AukDoor en DoorMe, en een ransomware-soort bekend als CatB, waarvan is vastgesteld dat deze wordt gebruikt bij aanvallen gericht op Brazilië en India op basis van overeenkomsten in de losgeldbrief, het formaat van het e-mailadres voor contact, het adres van de cryptocurrency-portemonnee en de bestandsnaamextensie van gecodeerde bestanden.
Aanvallen die in 2023 zijn waargenomen, hebben ook gebruik gemaakt van een bijgewerkte versie van BeaconLoader om Cobalt Strike te leveren voor verkennings- en post-exploitatieactiviteiten, zoals het laten vallen van extra tools en het exfiltreren van het NTDS.dit-databasebestand.
Verder is het de moeite waard erop te wijzen dat aangepaste malware die door ChamelGang wordt gebruikt, zoals DoorMe en MGDrive (waarvan de macOS-variant Gimmick wordt genoemd) ook in verband is gebracht met andere Chinese dreigingsgroepen zoals REF2924 en Storm Cloud, wat opnieuw verwijst naar de mogelijkheid van een “digitale kwartiermeester die verschillende operationele groepen van malware voorziet.”
De andere reeks inbraken betreft het gebruik van Jetico BestCrypt en Microsoft BitLocker bij cyberaanvallen die verschillende branches in Noord-Amerika, Zuid-Amerika en Europa treffen. Naar schatting zijn maar liefst 37 organisaties, voornamelijk de Amerikaanse productiesector, het doelwit geweest.
De waargenomen tactieken komen volgens de twee cybersecuritybedrijven overeen met die van een Chinese hackersbende genaamd APT41 en een Noord-Koreaanse acteur genaamd Andariel. Dit komt door de aanwezigheid van tools zoals de China Chopper-webshell en een backdoor genaamd DTrack.
“Cyberspionageoperaties vermomd als ransomware-activiteiten bieden vijandige landen de mogelijkheid om plausibele ontkenning te claimen door de acties toe te schrijven aan onafhankelijke cybercriminele actoren in plaats van aan door de staat gesponsorde entiteiten”, aldus de onderzoekers.
“Het gebruik van ransomware door cyberspionagedreigingsgroepen vervaagt de grenzen tussen cybercriminaliteit en cyberspionage, waardoor tegenstanders voordelen krijgen vanuit zowel strategisch als operationeel perspectief.”
