最近のランサムウェア攻撃者では、中国の国家が後援するAPTが疑われています
複数の企業に対する最近のマルウェア攻撃に関するセキュリティ研究者の分析によると、中国の国家が後援するハッキンググループであるAPTがこの活動に関与している可能性があります。
攻撃者は2020年に少なくとも5社で発生しました。 ProferoとSecurityJoesの企業の研究者によると、攻撃者は別のサードパーティプロバイダーを介して感染したサードサービスプロバイダーを介して標的に到達しました。
攻撃者はBitLockerに依存していました。 Windowsのドライブ暗号化ツールを使用して、いくつかのコアサービスを正常に暗号化します。トレンドマイクロから報告され、2010年以降アクティブであったAPT27およびWinntiに起因するDRBControlにリンクされたマルウェアサンプル。
ProferoとSecurityJoesは共同でレポートを提出しました。これは、これら2つのグループがDRBControlキャンペーンで使用されたものにClamblingバックドアを使用していることの明確な証拠です。また、APT27に起因する攻撃で修正バージョンが確認されたASPXSpyWebshellを発見しました。
レポートには、「この特定の感染チェーンの背後にいるのは誰かに関して、コードの類似性とTTP [戦術、技術、手順]の点で、APT27 /エメッセリーパンダと非常に強い関連があります。
悪意のある攻撃者は、DLL側の読み込みに対して脆弱な古いGoogleアップデータ実行可能ファイルを使用して、システムメモリにPlugXおよびClambingマルウェアを展開しました。
「2つのサンプルのそれぞれについて、正当な実行可能ファイル、悪意のあるDLL、およびペイロードをそれ自体から抽出してメモリ内で実行するためのシェルコードで構成されるバイナリファイルがありました。両方のサンプルは署名されたGoogleアップデータを使用し、両方のDLLはgoopdate.dllというラベルが付いていますが、PlugXバイナリファイルの名前はlicense.rtfで、Clamblingバイナリファイルの名前はEnglish.rtfです。」
さらに、2017年の脆弱性(CVE-2017-0213)が悪用され、システムの特権を昇格させたと考えられています。
Security Joesのセキュリティアナリストは、これらの攻撃からの重要なポイントは、金銭主導のキャンペーンへのハッカーグループの関与であると述べました。
このような悪意のあるグループは、政府がこれらの脅威と戦うために統一されたアプローチを持つべきであることを示しています、とプロフェロの研究者は言いました。