Es probable que el grupo APT chino use ataques de ransomware como tapadera para el robo de IP



Un actor de amenazas persistentes avanzadas (APT) con sede en China, activo desde principios de 2021, parece estar utilizando ransomware y ataques de doble extorsión como camuflaje para el ciberespionaje sistemático patrocinado por el gobierno y el robo de propiedad intelectual.

En todos los ataques, el actor de amenazas utilizó un cargador de malware llamado HUI Loader, asociado exclusivamente con grupos respaldados por China, para cargar Cobalt Strike Beacon y luego implementar ransomware en hosts comprometidos. Los investigadores de Secureworks que están rastreando al grupo como «Bronze Starlight» dicen que es una táctica que no han observado que usen otros actores de amenazas.

Secureworks también dice que ha identificado organizaciones en varios países que el adversario parece haber comprometido. Las víctimas del grupo con sede en EE. UU. incluyen una empresa farmacéutica, un bufete de abogados y una empresa de medios de comunicación con oficinas en Hong Kong y China. Otros incluyen diseñadores y fabricantes de componentes electrónicos en Japón y Lituania, una compañía farmacéutica en Brasil y la división aeroespacial y de defensa de un conglomerado indio. Unas tres cuartas partes de las víctimas de Bronze Starlight hasta ahora son organizaciones que normalmente han sido de interés para los grupos de ciberespionaje chinos patrocinados por el gobierno.

Ciclismo a través de familias de ransomware

Desde que inició operaciones en 2021, Bronze Starlight ha utilizado en menos cinco herramientas de ransomware diferentes en sus ataques: LockFile, AtomSilo, Rook, Evening Sky y Pandora. El análisis de Secureworks muestra que el actor de amenazas usó un modelo de ransomware tradicional con LockFile, donde cifró datos en una crimson víctima y exigió un rescate por la clave de descifrado. Pero cambió a un modelo de doble extorsión con cada una de las otras familias de ransomware. En estos ataques, Bronze Starlight intentó extorsionar a las víctimas cifrando sus datos confidenciales y amenazando con filtrarlos públicamente. Secureworks identificó datos pertenecientes a al menos 21 empresas publicadas en sitios de fugas asociados con AtomSilo, Rook, Evening Sky y Pandora.

Si bien Bronze Starlight parece tener una motivación financiera en la superficie, su verdadera misión parece ser el ciberespionaje y el robo de propiedad intelectual en apoyo de los objetivos económicos chinos, dice Marc Burnard, consultor senior de investigación de seguridad de la información en Secureworks. El año pasado, el gobierno de EE. UU. acusó formalmente a China de utilizar grupos de amenazas como Bronze Starlight en campañas de ciberespionaje patrocinadas por el estado.

“La victimología, las herramientas y el ciclo rápido a través de las familias de ransomware sugieren que la intención de Bronze Starlight puede no ser una ganancia financiera”, dice. En cambio, es posible que el actor de amenazas esté usando ransomware y doble extorsión como tapadera para robar datos de organizaciones de interés para China y destruir evidencia de su actividad.

Bronze Starlight se ha centrado sistemáticamente solo en una pequeña cantidad de víctimas durante cortos períodos de tiempo con cada familia de ransomware, algo que los grupos de amenazas no suelen hacer debido a la sobrecarga asociada con el desarrollo y la implementación de nuevas herramientas de ransomware. En el caso de Bronze Starlight, el actor de amenazas parece haber empleado la táctica para evitar llamar demasiado la atención de los investigadores de seguridad, dijo Secureworks.

La conexión china

Burnard dice que el uso de HUI Loader por parte del actor de amenazas junto con una versión relativamente rara de PlugX, un troyano de acceso remoto vinculado exclusivamente a grupos de amenazas respaldados por China, es otra señal de que hay más en Bronze Starlight de lo que podría sugerir su actividad de ransomware.

“Creemos que HUI Loader es una herramienta única para los grupos de amenazas patrocinados por el estado chino”, dice Burnard. No se united states of america mucho, pero donde se ha usado, la actividad se ha atribuido a otra posible actividad de un grupo de amenazas chino, como uno de un grupo denominado Bronze Riverside que se enfoca en robar propiedad intelectual de empresas japonesas.

“En términos del uso de HUI Loader para cargar Cobalt Strike Beacons, esta es una característica clave de la actividad Bronze Starlight que conecta la campaña más amplia y cinco familias de ransomware”, dice Burnard.

Otra señal de que Bronze Starlight es más que una very simple operación de ransomware involucra una brecha que Secureworks investigó a principios de este año, donde Bronze Starlight irrumpió en un servidor en una organización que ya había sido comprometida previamente por otra operación de amenazas patrocinada por China llamada Universidad de Bronce. Sin embargo, en este incidente, Bronze Starlight implementó HUI Loader con Cobalt Strike Beacon en el servidor comprometido, pero no implementó ningún ransomware.

“Nuevamente, esto plantea una pregunta interesante sobre los vínculos entre Bronze Starlight y los grupos de amenazas patrocinados por el estado en China”, dice Burnard.

También hay evidencia de que Bronze Starlight está aprendiendo de su actividad de intrusión y mejorando las capacidades del HUI Loader, agrega. La versión del cargador que el grupo usó en sus intrusiones iniciales, por ejemplo, fue diseñada simplemente para cargar, descifrar y ejecutar una carga útil. Pero una versión actualizada de la herramienta que encontró Secureworks mientras respondía a un incidente de enero de 2022 reveló varias mejoras.

“La versión actualizada viene con técnicas de evasión de detección, como deshabilitar el seguimiento de eventos de Windows para Home windows [ETW] e interfaz de escaneo antimalware [AMSI] y enlace de API de Windows”, señala Burnard. «Esto indica que HUI Loader se está desarrollando y actualizando activamente».

La investigación de Secureworks muestra que Bronze Starlight compromete principalmente los servidores con acceso a Web en las organizaciones víctimas al explotar vulnerabilidades conocidas. Entonces, como parte de un enfoque de varias capas para la seguridad de la crimson, los defensores de la crimson deben asegurarse de que los servidores conectados a Web se parcheen de manera oportuna, dice Burnard.

“Si bien el enfoque suele estar en la explotación de día cero, a menudo vemos grupos de amenazas como Bronze Starlight explotar vulnerabilidades que ya tienen un parche disponible”, dice.



Enlace a la noticia first