Группировка использует разные программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды.
Исследователи из ИБ-компании Sygnia приписали недавно обнаруженную программу-вымогатель Cheerscrypt китайской кибершпионской группировке Emperor Dragonfly, которая также известна как Bronze Starlight (Secureworks) и DEV-0401 (Microsoft).
Emperor Dragonfly развернула open source инструменты, которые были написаны китайскими разработчиками для китайских пользователей. По словам Sygnia, это подтверждает то, что операторы программы-вымогателя Emperor Dragonfly базируются в Китае.
Помимо Cheerscrypt за 1 год группировка использовала семейства программ-вымогателей LockFile , AtomSilo , Rook , Night Sky , Pandora и LockBit 2.0 . Secureworks отметила , что Bronze Starlight использует программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды, а основной целью атак является кража интеллектуальной собственности или шпионаж.
Также исследователи предположили, что это проукраинская группировка , поскольку она размещает украинские политические лозунги на своем сайте утечки в даркнете.
Стоит отметить, что основу семейств Rook, Night Sky и Pandora составляет программа Babuk . Цепочки заражения, наблюдаемые на сегодняшний день, используют уязвимость Log4Shell для компрометации серверов VMware Horizon и запуска вредоносных PowerShell скриптов , чтобы доставлять зашифрованный маяк Cobalt Strike.
https://www.securitylab.ru/upload/im...t-img(541).png
Цепочка атак Emperor Dragonfly
Эксперты Sygnia также обнаружили 3 дополнительных инструмента на основе Go, развернутых в тандеме с маяком:<ul><li>кейлоггер, который экспортирует записанные нажатия клавиш в Alibaba Cloud;</li>
</ul><ul><li>утилиту интернет-прокси iox;</li>
</ul><ul><li>ПО для туннелирования NPS.</li>
</ul>Связи Cheerscrypt с Emperor Dragonfly основаны на сходстве начальных векторов доступа, методов бокового перемещения и развертывания зашифрованного маяка Cobalt Strike с помощью техники боковой загрузки DLL (DLL Sideloading).