ИБ-специалисты из ИБ-фирм Profero и Security Joes в ходе расследования серии инцидентов с программами-вымогателями обнаружили вредоносное ПО, которое указывает на китайскую APT-группировку.
Эксперты обнаружили связь между вымогательским ПО BitLocker и группировкой APT27 (также известной как TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger и LuckyMouse), обычно участвующей в кампаниях по кибершпионажу. В 2020 году группировка атаковала как минимум пять компаний в сфере online-казино по всему миру и успешно зашифровала несколько основных серверов.
Специалисты из Profero и Security Joes провели расследование данных инцидентов и обнаружили, что хакеры достигли своих целей через стороннего поставщика услуг, зараженного через другого стороннего поставщика. Анализ атак выявил образцы вредоносного ПО Clambling, связанного с DRBControl, — кампанией, организованной китайскими киберпреступными группировками APT27 и Winnti. Если APT27 ориентирована на кибершпионаж, то Winnti известна своей финансовой мотивацией.
В ходе последних атак также использовалась web-оболочка ASPXSpy, модифицированная версия которой ранее использовалась в атаках APT27. Другое вредоносное ПО, обнаруженное на зараженных компьютерах, представляет собой троян для удаленного доступа PlugX, который регулярно упоминается в отчетах ИБ-исследователей о вредоносных кампаниях, связанных с Китаем.
Атаки против пяти компаний в секторе азартных игр не были особенно изощренными и основывались на известных методах уклонения от обнаружения и перемещения по сети жертв. Злоумышленники развернули вредоносное ПО PlugX и Clambling в системной памяти, используя старый исполняемый файл Google Updater, уязвимый к «боковой загрузке DLL» (DLL side-loading).
Кроме того, злоумышленники воспользовались уязвимостью 2017 года (CVE-2017-0213) для повышения привилегий на системе.