Филиал недавно обнаруженного вымогателя Yanluowang сосредотачивает свои атаки на американские организации в финансовом секторе, используя вредоносное ПО BazarLoader на стадии разведки.
Основываясь на наблюдаемых тактиках, методах и процедурах, злоумышленник имеет опыт работы с операциями «программа-вымогатель как услуга» (RaaS) и может быть связан с группой Fivehands.
Подключение к программе-вымогателю Fivehands
Исследователи Symantec, подразделения Broadcom Software, отмечают, что этот актер добивался значительных успехов в США как минимум с августа.
В то время как его интерес проявляется к финансовым учреждениям, дочерняя компания Yanluowang также нацелена на компании в производственном, ИТ-сервисном, консультационном и инженерном секторах.
Изучив тактику, техники и процедуры (ДТС), исследователи заметили возможную связь со старыми атаками с помощью Thieflock, операции вымогателя, разработанной группой Fivehands.
Сама программа-вымогатель Fivehands появилась относительно недавно и стала известна в апреле — сначала в отчете Mandiant, который отслеживает своего разработчика как UNC2447, а затем в предупреждении от CISA.
В то время в Mandiant заявили, что UNC2447 продемонстрировал «расширенные возможности для уклонения от обнаружения и минимизации криминалистической экспертизы после вторжений», и что его дочерние компании развертывали программу-вымогатель RagnarLocker.
Symantec отмечает, что связь, обнаруженная между недавними атаками Yanluowang и более ранними атаками с помощью Thieflock, носит предварительный характер, поскольку она основана на нескольких TTP, обнаруженных в атаках программ-вымогателей Fivehands, таких как:
- использование собственных инструментов восстановления паролей и инструментов с открытым исходным кодом (например, GrabFF)
- с помощью инструментов сетевого сканирования с открытым исходным кодом (например, SoftPerfect Network Scanner)
- использование браузера S3 и браузера Cent для загрузки и выгрузки данных
«Эта ссылка вызывает вопрос о том, был ли Yanluowang разработан Canthroid [он же Fivehands]. Однако анализ Yanluowang и Thieflock не дает никаких доказательств совместного авторства. Вместо этого наиболее вероятная гипотеза состоит в том, что эти атаки Yanluowang могут быть осуществлены бывшим филиалом Thieflock », — говорят исследователи.
Инструменты торговли
Получив доступ к целевой сети, злоумышленник использует PowerShell для загрузки инструментов, таких как вредоносная программа BazarLoader, которая помогает перемещаться вбок.
BazarLoader доставляется корпоративным целям с помощью ботнета TrickBot, который также распространяет вымогатель Conti. Совсем недавно операторы TrickBot начали помогать восстанавливать ботнет Emotet.
Злоумышленник Yanluowang включает службу удаленного рабочего стола (RDP) из реестра и устанавливает инструмент ConnectWise для удаленного доступа.
Исследователи говорят, что партнер обнаруживает интересующие системы с помощью инструмента AdFind — для запроса Active Directory и SoftPerfect Network Scanner — для поиска имен хостов и сетевых сервисов.
Несколько инструментов используются для кражи учетных данных из браузеров (Firefox, Chrome, Internet Explorer) взломанных машин: GrabFF, GrabChrome, BrowserPassView.
Исследователи Symantec также заметили, что злоумышленник использовал KeeThief для кражи главного ключа диспетчера паролей KeePass, инструмента захвата экрана и утилиты для кражи данных Filegrab.
В предыдущем отчете об атаках Yanluowang компания заявила, что хакеры угрожали распределенным отказом в обслуживании (DDoS) и атаками с удалением данных, если жертва не выполнит требования.
Сегодняшний отчет о филиале Yanluowang включает индикаторы компрометации инструментов и вредоносных программ, использованных при атаке.
