Eine in China ansässige Advanced Persistent Threat (APT)-Gruppe setzt möglicherweise kurzlebige Ransomware-Familien als Köder ein, um die wahren operativen und taktischen Ziele hinter ihren Kampagnen zu verschleiern.
Die Aktivitätsgruppe, die von Secureworks als Bronze Starlight bezeichnet wird, setzt nach einem Einbruch Ransomware wie LockFile, Atom Silo, Rook, Night Sky, Pandora und LockBit 2.0 ein.
„Die Ransomware könnte die Einsatzkräfte davon ablenken, die wahren Absichten der Bedrohungsakteure zu erkennen und die Wahrscheinlichkeit verringern, dass die bösartigen Aktivitäten einer von der Regierung gesponserten chinesischen Bedrohungsgruppe zugeordnet werden“, so die Forscher in einem neuen Bericht. „In jedem Fall zielt die Ransomware auf eine kleine Anzahl von Opfern über einen relativ kurzen Zeitraum ab, bevor sie ihre Aktivitäten scheinbar dauerhaft einstellt.
Bronze Starlight, das seit Mitte 2021 aktiv ist, wird auch von Microsoft unter dem Namen DEV-0401 verfolgt. Der Tech-Gigant betont, dass er in alle Phasen des Ransomware-Angriffszyklus involviert ist – vom ersten Zugriff bis zur Bereitstellung der Nutzlast.
Im Gegensatz zu anderen RaaS-Gruppen, die sich von Initial Access Brokern (IABs) Zugang zu einem Netzwerk verschaffen, zeichnen sich die Angriffe des Akteurs durch die Nutzung ungepatchter Schwachstellen aus, die Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence (einschließlich der neu entdeckten Schwachstelle) und Apache Log4j betreffen.
Seit August 2021 soll die Gruppe bis zu sechs verschiedene Ransomware-Versionen entwickelt haben, darunter LockFile (August), Atom Silo (Oktober), Rook (November), Night Sky (Dezember), Pandora (Februar 2022) und zuletzt LockBit 2.0 (April).
Außerdem wurden Ähnlichkeiten zwischen LockFile und Atom Silo sowie zwischen Rook, Night Sky und Pandora aufgedeckt – die drei letztgenannten stammen von der Ransomware Babuk ab, deren Quellcode im September 2021 durchsickerte -, was auf die Arbeit eines gemeinsamen Akteurs hindeutet.
„Da DEV-0401 seine eigenen Ransomware-Payloads pflegt und häufig umbenennt, können sie in Payload-gesteuerten Berichten als verschiedene Gruppen erscheinen und so Erkennungen und Maßnahmen gegen sie umgehen“, stellte Microsoft letzten Monat fest.
Sobald sie in einem Netzwerk Fuß gefasst haben, nutzt Bronze Starlight bekanntermaßen Techniken wie Cobalt Strike und Windows Management Instrumentation (WMI) für laterale Bewegungen.
Andere beobachtete Techniken betreffen die Verwendung von HUI Loader, um verschlüsselte Nutzlasten wie PlugX und Cobalt Strike Beacons zu starten, wobei letztere verwendet werden, um die Ransomware auszuliefern, aber nicht bevor sie privilegierte Domänenadministrator-Anmeldedaten erhalten haben.
„Die Verwendung von HUI Loader zum Laden von Cobalt Strike Beacon, die Cobalt Strike Beacon-Konfigurationsinformationen, die C2-Infrastruktur und die Code-Überschneidungen deuten darauf hin, dass dieselbe Bedrohungsgruppe mit diesen fünf Ransomware-Familien in Verbindung steht“, erklärten die Forscher.
Es ist erwähnenswert, dass sowohl HUI Loader als auch PlugX und ShadowPad Malware sind, die in der Vergangenheit von chinesischen, nationalstaatlichen Angriffskollektiven eingesetzt wurde, was die Möglichkeit nahelegt, dass Bronze Starlight eher auf Spionage als auf unmittelbare finanzielle Vorteile ausgerichtet ist.
Darüber hinaus zeigt das Muster der Viktimologie der verschiedenen Ransomware-Stämme, dass die meisten Ziele wahrscheinlich eher für von der chinesischen Regierung gesponserte Gruppen von Interesse sind, die sich auf das langfristige Sammeln von Informationen konzentrieren.
Zu den wichtigsten Opfern gehören Pharmaunternehmen in Brasilien und den USA, ein Medienunternehmen mit Sitz in den USA und Niederlassungen in China und Hongkong, Entwickler und Hersteller elektronischer Komponenten in Litauen und Japan, eine Anwaltskanzlei in den USA und die Luft- und Raumfahrt- und Verteidigungsabteilung eines indischen Mischkonzerns.
Zu diesem Zweck bieten die Ransomware-Operationen nicht nur die Möglichkeit, Daten als Teil des doppelten Erpressungsschemas „Name und Schande“ zu exfiltrieren, sondern auch einen doppelten Vorteil: Sie ermöglichen es den Bedrohungsakteuren, forensische Beweise für ihre bösartigen Aktivitäten zu zerstören und vom Datendiebstahl abzulenken.
„Es ist plausibel, dass Bronze Starlight die Ransomware als Deckmantel einsetzt und nicht zur Erzielung finanzieller Gewinne, sondern um geistiges Eigentum zu stehlen oder Spionage zu betreiben“, so die Forscher.