Китайские хакеры, связанные с правительством, пойманы на организации опасной атаки с вымогательством.

Исследователи из Symantec заметили, что китайские государственные хакеры запустили рэнзом웨ар против азиатской компании по разработке программного обеспечения и предоставлению услуг. Они утверждают, что это необычное поведение для государственно-спонсируемых атакующих групп.

Группа Emperor Dragonfly (известный китайский государственный спонсор хакерских действий) недавно совершила нечто необычное — развернула рэнзомウェар на сети целевой компании. Отчет от команды Threat Hunter Team из Symantec, наблюдавшей за атакой в конце 2024 года, показал, что они неоднократно видели группу, которая действует по своему обычному сценарию — внедрение злонамеренных DLL файлов (через легитимный исполняемый файл Toshiba) для установки бэкдора и обеспечения устойчивого присутствия. Целью было традиционное для государственно-спонсируемых атакующих — кибершпионаж. Жертвами в основном были министерства иностранных дел стран Восточной Европы и подобные государственные организации.

Однако, в конце 2024 года Emperor Dragonfly была замечена использованием того же метода для обеспечения устойчивого присутствия — а затем развертывания рэнзомウェара против азиатской компании по разработке программного обеспечения и предоставлению услуг. Группа использовала вариант рэнзомウェара RA World, потребовав выкуп в размере 2 миллионов долларов (1 миллион при оплате в течение трех дней).

Для китайских государственных хакеров это необычное поведение, как утверждают исследователи Symantec. Северокорейские атакующие группы часто занимаются рэнзомвеар-атаками и используют украденные деньги для финансирования своих государственных органов и военных программ. Китайцы же больше заинтересованы в кибершпионаже.

Тем не менее, Symantec предполагает, что атака с использованием рэнзомвеара могла быть отвлекающим маневром для скрытия следов более крупной операции — вероятно, шпионской. Первоначальный вектор атаки не раскрывался, но хакеры заявили, что злоупотребили известным уязвимостью Palo Alto PAN-OS (CVE-2024-0012) для проникновения в инфраструктуру компании. Затем атакующие получили административные учетные записи из внутренней сети компании, перед тем как украсть учетные данные Amazon S3 из сервера Veeam и использовать их для кражи данных из корзин S3, после чего зашифровали компьютеры, — пояснили исследователи. Последний шаг был использованием того же метода сторонней загрузки DLL.

Исследователи также заметили, что после установления устойчивого присутствия в сети компании Emperor Dragonfly внезапно перешла к развертыванию рэнзомウェара. Это необычное поведение для группы, известной своей активностью в области кибершпионажа.