Группировка использует разные программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды.
Исследователи из ИБ-компании Sygnia приписали недавно обнаруженную программу-вымогатель Cheerscrypt китайской кибершпионской группировке Emperor Dragonfly, которая также известна как Bronze Starlight (Secureworks) и DEV-0401 (Microsoft).
Emperor Dragonfly развернула open source инструменты, которые были написаны китайскими разработчиками для китайских пользователей. По словам Sygnia, это подтверждает то, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.
Помимо Cheerscrypt за 1 год группировка использовала семейства программ-вымогателей LockFile , AtomSilo , Rook , Night Sky , Pandora и LockBit 2.0 . Secureworks отметила , что Bronze Starlight использует программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды, а основной целью атак является кража интеллектуальной собственности или шпионаж.
Также исследователи предположили, что это проукраинская группировка , поскольку она размещает украинские политические лозунги на своем сайте утечки в даркнете.
Стоит отметить, что основу семейств Rook, Night Sky и Pandora составляет программа Babuk . Цепочки заражения, наблюдаемые на сегодняшний день, используют уязвимость Log4Shell для компрометации серверов VMware Horizon и запуска вредоносных PowerShell скриптов , чтобы доставлять зашифрованный маяк Cobalt Strike.
Цепочка атак Emperor Dragonfly
Эксперты Sygnia также обнаружили 3 дополнительных инструмента на основе Go, развернутых в тандеме с маяком:
кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud;
утилиту интернет-прокси iox;
ПО для туннелирования NPS.
Связи Cheerscrypt с Emperor Dragonfly основаны на сходстве начальных векторов доступа, методов бокового перемещения и развертывания зашифрованного маяка Cobalt Strike с помощью техники боковой загрузки DLL (DLL Sideloading).
source:
blog.sygnia.co/revealing-emperor-dragonfly-a-chinese-ransomware-group#:~
ext=INTRODUCTION,Ukrainian%20national%20salute
blog.sygnia.co/revealing-emperor-dragonfly-a-chinese-ransomware-group#:~ext=Sygnia%20decided%20to,web%20leak%20site
Исследователи из ИБ-компании Sygnia приписали недавно обнаруженную программу-вымогатель Cheerscrypt китайской кибершпионской группировке Emperor Dragonfly, которая также известна как Bronze Starlight (Secureworks) и DEV-0401 (Microsoft).
Emperor Dragonfly развернула open source инструменты, которые были написаны китайскими разработчиками для китайских пользователей. По словам Sygnia, это подтверждает то, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.
Помимо Cheerscrypt за 1 год группировка использовала семейства программ-вымогателей LockFile , AtomSilo , Rook , Night Sky , Pandora и LockBit 2.0 . Secureworks отметила , что Bronze Starlight использует программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды, а основной целью атак является кража интеллектуальной собственности или шпионаж.
Также исследователи предположили, что это проукраинская группировка , поскольку она размещает украинские политические лозунги на своем сайте утечки в даркнете.
Стоит отметить, что основу семейств Rook, Night Sky и Pandora составляет программа Babuk . Цепочки заражения, наблюдаемые на сегодняшний день, используют уязвимость Log4Shell для компрометации серверов VMware Horizon и запуска вредоносных PowerShell скриптов , чтобы доставлять зашифрованный маяк Cobalt Strike.
Цепочка атак Emperor Dragonfly
Эксперты Sygnia также обнаружили 3 дополнительных инструмента на основе Go, развернутых в тандеме с маяком:
кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud;
утилиту интернет-прокси iox;
ПО для туннелирования NPS.
Связи Cheerscrypt с Emperor Dragonfly основаны на сходстве начальных векторов доступа, методов бокового перемещения и развертывания зашифрованного маяка Cobalt Strike с помощью техники боковой загрузки DLL (DLL Sideloading).
source:
blog.sygnia.co/revealing-emperor-dragonfly-a-chinese-ransomware-group#:~
ext=INTRODUCTION,Ukrainian%20national%20saluteblog.sygnia.co/revealing-emperor-dragonfly-a-chinese-ransomware-group#:~
ext=Sygnia%20decided%20to,web%20leak%20site