Secureworks研究人員在2021年初發現駭客集團Bronze Starlight正在部署HUI Loader,HUI Loader可用來解密與載入各種遠端存取木馬,成功進駐受害系統之後再安裝勒索軟體,包括LockFile、AtomSilo、Rook、Night Sky及Pandora等。(圖片來源/Secureworks)

資安業者Secureworks本周指出,他們相信中國駭客集團Bronze Starlight企圖以勒索軟體攻擊來掩飾間諜行動。

研究人員在去年初便發現Bronze Starlight正在部署HUI Loader,HUI Loader可用來解密與載入各種遠端存取木馬,諸如SodaMaster、PlugX、Cobalt Strike與QuasarRAT等,成功進駐受害系統之後再安裝勒索軟體,包括LockFile、AtomSilo、Rook、Night Sky及Pandora等,由於不管是HUI Loader或上述5款勒索軟體都與其它中國駭客集團的行動有關,再加上Bronze Starlight的行動出現了中文,使得Secureworks判斷Bronze Starlight源自中國。

不過,研究人員發現,Bronze Starlight部署勒索軟體的手法有些奇怪,與傳統獲利導向的攻擊不太一樣,駭客都只在短時間內鎖定很少數的受害者發動攻擊,而且這5款勒索軟體的壽命都很短,例如活最久的AtomSilo只存在不到3個月,受害者只有5個;最短的Night Sky只存活1天,有兩個受害者;LockFile的受害者最多,有8個,但它也只存在一個半月。

此外,在這些勒索軟體所列出的21個受害者名單中,Secureworks估計有高達75%與中國政府的利益有關,包括巴西與美國的製藥公司,在中國與香港都設有辦公室的美國媒體,日本與立陶宛的電子元件設計及製造商,以及一個印度集團的航太暨國防部門。

從勒索軟體的特性、受害者的屬性,再加上Bronze Starlight所使用的工具與基礎設施,都與中國政府贊助的網路攻擊行動有所牽連,都讓研究人員強烈懷疑Bronze Starlight其實是利用勒索軟體來隱藏真實的間諜行動。

於受害者系統上執行勒索軟體的好處包括可藉由加密檔案湮滅證據,也能以勒索軟體攻擊的名義來竊取資料,還能轉移調查焦點。

Secureworks提醒,Bronze Starlight是利用網路周邊裝置的已知漏洞入侵組織網路,進而部署HUI Loader以植入Cobalt Strike等木馬,最後才是執行勒索軟體攻擊,組織應該可在前兩個階段透過修補及強化偵測,來避免最終的攻擊行動。

熱門新聞

Advertisement