Cluster ancaman ancaman yang sebelumnya tidak diketahui menargetkan organisasi -organisasi Eropa, terutama mereka yang berada di sektor perawatan kesehatan, untuk menggunakan Plugx dan penggantinya, Shadowpad, dengan intrusi yang pada akhirnya mengarah pada penyebaran ransomware yang disebut Nailaolocker dalam beberapa kasus.
Kampanye, dengan nama kode Green Nailao oleh Orange Cyberdefense Cert, melibatkan eksploitasi cacat keamanan yang baru ditampilkan dalam Produk Keamanan Gateway Jaringan Titik Cek (CVE-2024-24919, Skor CVSS: 7.5). Serangan itu diamati antara Juni dan Oktober 2024.
“Kampanye ini mengandalkan pembajakan pesanan pencarian DLL untuk menggunakan Shadowpad dan Plugx-dua implan yang sering dikaitkan dengan intrusi target China-Nexus,” kata perusahaan itu dalam sebuah laporan teknis yang dibagikan dengan Hacker News.
Akses awal yang diberikan oleh eksploitasi instance titik cek yang rentan dikatakan telah memungkinkan para aktor ancaman untuk mengambil kredensial pengguna dan terhubung ke VPN menggunakan akun yang sah.
Pada tahap berikutnya, para penyerang melakukan pengintaian jaringan dan pergerakan lateral melalui Protokol Desktop Jarak Jauh (RDP) untuk mendapatkan hak istimewa yang ditinggikan, diikuti dengan melaksanakan biner yang sah (“Logger.exe”) untuk memuatkan DLL nakal (“Logexts.dll” ) Itu kemudian berfungsi sebagai loader untuk versi baru malware Shadowpad.
Iterasi sebelumnya dari serangan yang terdeteksi pada Agustus 2024 telah ditemukan untuk memanfaatkan tradecraft serupa untuk mengirimkan PlugX, yang juga menggunakan pemuatan samping DLL menggunakan MCAFEE Executable (“mcoemcpy.exe”) untuk sideload “mcutil.dll.”
Seperti Plugx, Shadowpad adalah malware yang dijual secara swasta yang secara eksklusif digunakan oleh aktor spionase Cina sejak setidaknya 2015. Varian yang diidentifikasi oleh sertifikat cyberdefense oranye menampilkan kebingungan canggih dan tindakan anti-debug, di samping membangun komunikasi dengan server jarak jauh untuk menciptakan akses jarak jauh yang terus-menerus ke yang terus-menerus ke yang terus-menerus ke Remote Todes Sistem Korban.
Ada bukti yang menunjukkan bahwa para aktor ancaman berusaha untuk mengeluarkan data dengan mengakses sistem file dan membuat arsip ZIP. Intrusi berujung pada penggunaan instrumentasi manajemen Windows (WMI) untuk mengirimkan tiga file, yang dapat dieksekusi yang sah oleh Beijing HuoRong Network Technology Co., Ltd (“Usysdiag.exe”), loader bernama Nailaoloader (“Sensapi.dll”) , dan nailaolocker (“usysdiag.exe.dat”).
Sekali lagi, file DLL dimuat melalui “usysdiag.exe” untuk mendekripsi dan memicu eksekusi nailaolocker, ransomware berbasis C ++ yang mengenkripsi file, menambahkannya dengan ekstensi “. untuk melakukan pembayaran bitcoin atau menghubungi mereka di alamat surat proton.
“Nailaolocker relatif tidak canggih dan dirancang dengan buruk, tampaknya tidak dimaksudkan untuk menjamin enkripsi penuh,” kata peneliti Marine Pichon dan Alexis Bonnefoi.
“Ini tidak memindai saham jaringan, tidak menghentikan layanan atau proses yang dapat mencegah enkripsi file penting tertentu, [and] itu tidak mengontrol jika sedang debug. “
Orange telah mengaitkan aktivitas dengan kepercayaan sedang dengan aktor ancaman yang selaras Cina karena penggunaan implan Shadowpad, penggunaan teknik pemuatan sisi DLL, dan fakta bahwa skema ransomware yang serupa telah dikaitkan dengan kelompok ancaman Cina lainnya yang dijuluki perunggu perunggu lainnya Cahaya bintang.
Terlebih lagi, penggunaan “usysdiag.exe” untuk memuat muatan tahap berikutnya sebelumnya telah diamati dalam serangan yang dipasang oleh set intrusi yang terkait dengan China yang dilacak oleh Sophos dengan nama cluster alpha (alias STAC1248).
Sementara tujuan pasti dari kampanye spionase-cum-ransomware tidak jelas, diduga bahwa para aktor ancaman mencari untuk mendapatkan keuntungan cepat di samping.
“Ini bisa membantu menjelaskan kontras kecanggihan antara Shadowpad dan Nailaolocker, dengan Nailaolocker kadang -kadang bahkan berusaha meniru teknik pemuatan Shadowpad,” kata para peneliti. “Sementara kampanye semacam itu kadang -kadang dapat dilakukan secara oportunistik, mereka sering mengizinkan kelompok ancaman untuk mendapatkan akses ke sistem informasi yang kemudian dapat digunakan untuk melakukan operasi ofensif lainnya.”
