Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

Campania Green Nailao vizează companii medicale europene cu un nou ransomware

O serie de atacuri cibernetice ce au vizat organizații din Europa, în special din sectorul medical, folosesc un nou ransomware numit NailaoLocker ce este plasat prin malware frecvent asociat cu actori statali din China.

Campania, denumită Green Nailao de echipa Orange Cyberdefence CERT, a folosit variante de malware ShadowPad și PlugX, și s-a desfășurat anul trecut pentru cel puțin cinci luni, între iunie și noiembrie.

Acces inițial prin Check Point VPN

Echipa de răspuns la incidente cibernetice (incident response) a firmei de securitate Trend Micro a analizat două atacuri asociate cu Green Nailao în care s-a folosit malware-ul ShadowPad și spun că anvergura este mai mare, cuprinzând cel puțin 21 de companii din 15 țări din Europa, Orientul Mijlociu, Asia, și America de Sud.

Experții de la Orange au observat că atacatorii au folosit NailaoLocker, o nouă familie de ransomware, în cel puțin două atacuri pentru a cripta sistemele victimelor.

În toate cele patru cazuri analizate de Orange, atacatorul a obținut accesul inițial prin compromiterea unui dispozitiv Check Point VPN, cel mai probabil prin exploatarea vulnerabilității CVE-2024-24919 ce afectează Check Point Security Gateways care include opțiuni pentru acces de la distanță.

Vulnerabilitatea CVE-2024-24919 a fost reparată anul trecut în mai, dar diferiți actori au exploatat-o ca zero-day încă din aprilie pentru a obține hashes pentru parolele tuturor conturilor locale.

Experții Orange spun că toate dispozitivele Check Point atacate erau vulnerabile la momentul campaniei Green Nailao, ceea ce susține ipoteza exploatării lor pentru a obține credențiale de utilizatori pentru a se conecta prin VPN folosind conturi legitime.

După obținerea accesului inițial, atacatorii au folosit protocolul RDP (Remote Access Desktop) pentru conectarea de la distanța în scopul recunoașterii rețelei și pentru mișcări laterale (trecere de la un sistem compromis la altul).

Variantă nouă de ShadowPad malware

Echipa de răspuns la incidente cibernetice (incident response) a firmei de securitate Trend Micro a analizat două atacuri asociate cu Green Nailao în care s-a folosit malware-ul ShadowPad și spun că anvergura este mai mare, cuprinzând cel puțin 21 de companii din 15 țări din Europa, Orientul Mijlociu, Asia, și America de Sud.

Geography of ShadowPad attacks in the Green Nailao campaignTrend Micro

În cazurile analizate de Trend Micro, atacatorii au folosit o versiune nouă de ShadowPad, un malware întâlnit în campanii de spionaj atribuite mai multor actori cibernetici avansați (APT – advanced persistent threat) din China subordonate grupului APT41, precum Earth Longzhi (SnakeCharmer) și Earth Freybug.

ShadowPad a fost descoperit în 2017 într-o investigație Kaspersky a unui atac de tip supply-chain în care atacatorul a infectat un utilitar de la NetSarang folosit în rețele corporate pentru administrarea a serverelor.

Orange Cyberdefence spune că există suspiciuni că ShadowPad încă din 2015 a fost vândut sau distribuit în privat între grupuri APT din China. Varianta descoperită în 2024 reprezintă o îmbunatățire a celei din 2022, având capabilitați ce nu au mai fost raportate până acum:

  • Tehnici anti-debugging simple și binecunoscute
  • Criptarea payload-ului Shadowpad în regiștrii Windows prin utilizarea numărului de serie al volumului, care este unic pentru computerul victimei
  • Formatul configurației și parsarea s-au schimbat, dar conținutul rămâne același
  • Utilizarea DNS peste HTTPS (DoH – DNS over HTTPS), ceea ce duce la o monitorizare mai dificilă a conexiunilor de rețea. Astfel nu se mai observă cererile de rezolvare a numelui de domeniu pentru serveru de comandă și control (C2 – command and control), ci doar conexiunile la adresa IP legată de un astfel de domeniu

Într-un atac din august, experții Orange au observat un lanț de infecție finalizat cu execuția malware-ului PlugX, ce este folosit în activități malițioase în general atribuite actorilor statali chinezi.

Experții atrag atenția însă, că procedura atacatorilor a implicat trei fișiere ce pot fi create cu un utilitar pentru generarea de versiuni de PlugX ce se găsește în spațiul public.

Campanie de spionaj mascată de ransomware

Odată compromise sistemele, atacatorii au accesat fișiere și directoare de interes, și au creat arhive ZIP, ceea ce sugerează cel puțin încercări de a exfiltra date.

Orange Cyberdefence spune că cel puțin o dată au observat că actorul a obținut fișierul „ntds.dit” din Active Directory, unde sunt stocate detalii ale conturilor de utilizatori, parole, apartenențe la grupuri, dar experții nu au putut analiza în totalitate activitatea din cauza lipsei de loguri detaliate.

În urma analizei efectuate, experții Orange are încredere medie că activitatea Green Nailao are metode și utilitare specifice atacatorilor chinezi.

Concluzia se bazează pe utilizarea ShadowPad și folosirea de tactici, tehnici, și proceduri (TTP) specifice APT-ului chinez Earth Lusca, cunoscut și sub numele Charcoal Typhoon și Bronze University.

Deși Orange a mai observat câteva asemănări cu alte activități cibernetice ce se aliniază intereselor Chinei, precum Cluster Alpha, experții nu pot asocia campania Green Nailao unui grup specific de atacatori.

De asemenea, experții cred că activitatea de criptare a sistemelor și cererea unei răscumpărări ar putea fi o direcție falsă menită să mascheze scopul principal de furt de date ca parte a unei campanii de spionaj.

O altă variantă este că activitatea ransomware este pur financiară, efectuată în secret de către un membru al unui APT chinezesc care are acces la malware precum ShadowPad.

Această ipoteză ar fi o explicație plauzibilă pentru diferența clară de complexitate între NailaoLocker și ShadowPad, primul fiind relativ nesofisticat și prost dezvoltat, aparent nefiind destinat pentru criptare totală.

Orange subliniază că atacurile Green Nailao par fi limitate și nu vizează un număr mare de companii. Cu toate acestea, recomandarea generală este ca toate organizațiile să instaleze ultimele actualizări de securitate pentru a adresa vulnerabilitățile recent descoperite.

Atât Orange cât și Trend Micro includ în rapoartele publicate indicatori ce pot fi folosiți de către toate organizațiile pentru a preveni, descoperi, sau bloca atacurile din cadrul campaniei Green Nailao.

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna