ادعای شرکت سایبری اسرائیلی در مورد تهدید گروه‌های باج‌افزاری چین

به گزارش کارگروه بین‌الملل سایبربان؛ سیگنیا (Sygnia)، شرکت مشاور امنیت سایبری و پاسخگویی به حوادث مستقر در سرزمین‌های اشغالی، اوایل ماه جاری گزارش جدیدی منتشر کرد که نشان می‌دهد حملات گروه‌های باج‌افزاری «Night Sky» و «Cheerscrypt» از یک عامل تهدید مشترک نشأت گرفته شرکت اسرائیلی آن را «Emperor Dragonfly» نامید. این ادعا تأییدی بر روش‌های جدیدتر مورد استفاده بازیگران تهدید صنعت است تا به عنوان چندین گروه کوچک‌تر ظاهر شوند و از کشف جلوگیری شود.

«Cheerscrypt»، تیم «IR» سیگنیا، در حین بررسی یک حادثه مربوط به گروه باج‌افزاری عمدتاً ناشناخته متوجه شد که تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) مورد استفاده به شدت شبیه گروه‌های باج‌افزار شناخته‌شده دیگر، Night Sky، است.

این واقعیت که شاخص‌های سازش (IOC) گروه Night Sky شناسایی شدند، اما باج‌افزار Cheerscrypt مستقر شد، تیم IR سیگنیا را بر آن داشت تا عمیق‌تر در ریشه Cheerscrypt بپردازند. در نتیجه، شرکت اسرائیلی مدعی شد که Cheerscrypt مانند Night Sky، خانواده باج‌افزاری دیگری است که به‌وسیله Emperor Dragonfly توسعه یافته است.

در ماه ژانویه 2022، عوامل تهدید با استفاده از آسیب‌پذیری «Log4Shell»، سرور «VMware Horizon» را به خطر انداختند. از اینجا، عوامل تهدید جای پای خود را در شبکه افزایش دادند و با اجرای کد از راه دور و استقرار «Cobalt Strike Beacons» به سمت جانبی حرکت کردند.

پس از چند ماه توقف، عوامل تهدید از ابزار خط فرمان منبع باز «Rclone» برای استخراج اطلاعات حساس به سرویس ذخیره‌سازی ابری و تحویل محموله نهایی استفاده کردند : باج‌افزار Cheerscrypt. اگرچه اکثر نشریات، Cheerscrypt را به عنوان یک خانواده باج‌افزاری مبتنی بر لینوکس توصیف می‌کنند که سرورهای «ESXi» را هدف قرار می‌دهد، اما سیگنیا معتقد است که ماشین‌های ویندوز و ESXi هر 2 رمزگذاری شده بودند.

برخلاف دیگر گروه‌های باج‌افزاری، Emperor Dragonfly، که با نام «DEV-0401/BRONZESTARLIGHT» نیز شناخته می‌شود، در مدل وابسته عمل نمی‌کند و از خرید دسترسی اولیه از سایر عوامل تهدید خودداری می‌کند. درعوض، این گروه تمام مراحل چرخه حیات حمله را به تنهایی مدیریت می‌کند.

شرکت اسرائیلی ادعا کرد که این گروه همچنین هر چند ماه یک بار بارهای باج‌افزار خود را تغییر نام می‌دهد، که به آنها کمک می‌کند برخلاف سایر گروه‌های بدنامی که برای ایجاد شهرت خود فعالیت دارند، زیر رادار بمانند. و علی‌رغم اینکه Cheerscrypt خود را طرفدار اوکراین معرفی می‌کرد، در طول این حادثه، عوامل تهدید ابزارهای منبع باز را که از سوی توسعه‌دهندگان چینی برای کاربران چینی نوشته شده بود، به کار گرفتند، که ادعاهای قبلی مبنی بر اینکه اپراتورهای Emperor Dragonfly در چین مستقر هستند را تقویت کرد.

آمنون کوشنیر (Amnon Kushnir)، سرپرست تیم واکنش و شکار تهدید در سیگنیا گفت :

«در دنیای باج‌افزارهای وابسته و کد منبع باج‌افزار فاش شده، اتصال 2 نوع باج‌افزار با یک عامل تهدید، اغلب دشوار است. این کشف برای کمک به مشتریان ما در جستجوی بهتر شبکه‌های خود با هدف یافتن ردپای گروه تهدید در چشم‌اندازی که به سرعت در حال تغییر است و همچنین دفاع بهتر از سیستم‌های خود در برابر امپراتور دراگون‌فلای و تهدیدات مشابه، امری حیاتی است.»