SENASTE NYTT

- Nyheter inom industrivärlden

Kinesiskt verktyg för cyberbrott nu i ryska händer

Använts i attacker sedan åtminstone i början av 2022
WithSecure™-rapport dokumenterar förflyttningen av “SILKLOADER” från Kina till Ryssland och belyser konsekvenserna av samarbete mellan hotaktörer.

Cyberbrottsindustrins hotaktörer delar allt oftare de verktyg de utvecklat för att begå cyberbrott med varandra. Som ett resultat ökar de skador som brottslingar orsakar. En ny rapport från WithSecure™ (tidigare känd som F-Secure business) illustrerar denna nya dynamik och har dokumenterat migreringen av cyberattacksverktyget SILKLOADER från kinesiska cyberbrottslingar till ryska IT-kriminella.

WithSecure™-forskare upptäckte SILKLOADER när det användes i en attack mot en fransk organisation inom socialt arbete. Enligt rapporten har verktyget använts i attacker sedan åtminstone i början av 2022.

Före sommaren 2022 användes SILKLOADER uteslutande av kinesiska cyberbrottslingar mot mål i Ostasien, främst Hongkong och Kina. SILKLOADER-verksamheten upphörde dock i juli, 2022.

SILKLOADER sågs inte igen förrän i september, då det dök upp i en rad attacker mot mål i länder som Taiwan, Brasilien och Frankrike.

WithSecure™-forskare drar slutsatsen att SILKLOADER då användes av ryska cyberbrottslingar. Den mest troliga förklaringen är att kinesiska cyberbrottslingar sålde det till ryska.

"Vi bedömer att SILKLOADER för närvarande används inom det ryska ekosystemet för cyberbrottslighet, färdigpaketerad som en så kallad “loader”, genom ett Packer-as-a-Service-program till ransomware-grupper, eller möjligen via grupper som erbjuder Cobalt Strike/Infrastructure-as-a-Service till betrodda dotterbolag. Vi har sett detta i de tidiga stadierna av vad som ser ut att vara ransomware-attacker", säger WithSecure™ Intelligence-forskaren Mohammad Kazem Hassan Nejad. "De flesta av de aktörer som använder verktyget verkar ha varit en del av, eller har haft nära arbetsrelationer med, CONTI-gruppen eller grupper som bestått efter dess påstådda nedläggning.”

SILKLOADER är en typ av skadlig programvara som kallas för en loader och använder en teknik som kallas DLL-sideloading med VLC Media Player för att starta Cobalt Strike-beacons på offrens enheter. Dessa beacons ger angripare kontinuerlig åtkomst till de infekterade enheterna.

Enligt Hassan Nejad byggdes loadern för att dölja Cobalt Strike-beacons så att de ska undvika de försvarsmekanismer som finns på målets enhet.

"Cobalt Strike beacons är välkända inom cybersäkerhetsbranschen men det är långt ifrån enkelt att upptäcka dem. Och genom att lägga till ett lager av komplexitet till filinnehållet och starta det genom en känd applikation som VLC Media Player blir det ännu svårare att försvara sig”, säger Mohammad Kazem Hassan Nejad.

Konfrontera cyberbrottstjänster
Enligt WithSecure™ Intelligence Vice President Paolo Palumbo, finns SILKLOADER som en tjänst, som kan köpas av olika hotaktörer, vilket medför utmaningar i kampen mot cyberbrottsindustrin.

"Angripare använder de teknologier som finns inom cyberbrottsindustrin så att de snabbt kan anpassa sin verksamhet utifrån de försvar som finns. Det gör det svårt för oss att koppla resurser till en viss grupp eller verksamhetssätt. Å andra sidan erbjuder denna delning av infrastruktur oss en möjlighet att försvara oss mer effektivt mot flera grupper samtidigt, då vi kan skapa strategier för att motverka resurser som de delar, säger Palumbo.

WithSecure™ Elements och WithSecure™ Countercept Managed Detection and Response har flera detekteringar för SILKLOADER och relaterad aktivitet. Mer information om lösningarna finns på https://www.withsecure.com/en/solutions.

En översikt över SILKLOADER, inklusive indikatorer på intrång kompromiss, finns på https://labs.withsecure.com/publications/silkloader.

WithSecure™
Inari Anttila, PR Manager
inari.anttila@withsecure.com
tel. +358438240090

Northern Link PR för WithSecure™
Björn Dahlgren
bjorn@nlpr.se
tel. +46761603760

Kontaktinformation

Northern Link PR i Sverige AB

Postadress
Kungs­gatan 60
11122 Stockholm
Besöksadress
Kungs­gatan 60
11122 Stockholm
Region
Stockholm
Stockholms län
Sverige
Organisationsnummer:
556834-7198
Grundat: Ej angivet
Anställda: Ej angivet
Välkommen till Northern Link PR.

Vi hjälper företag med nordiska ambitioner.
När det gäller PR och kommunikation, strävar Northern Link PR att vara det bästa valet för företag med svensk eller helt nordiska ambitioner.

Vi ser vikten av meddelanden, strategi och taktik som är nära i linje med dina affärsmål. Därför har vi etablerat kompetens inom en rad tjänster som kan utvecklas och anpassas beroende på din unika situation.

Välkommen att kontakta oss.

Kontakter

Henrik Aare
Kontaktperson
070-598 22 82

SENASTE NYTT

- Nyheter inom industrivärlden
2024-06-05
Ciscos plattform för molnsäkerhet tar nya klivIFS lanserar nya industriella AI-funktionerAxkid svarar på dyster europeisk krockstatistikNeo4j tillkännager sam­arbete med SnowflakeRansomware fortsätter orsaka oreda
2024-06-04
ISCAR utökar ett redan stort sortiment Rikstäckande service för centralsmörjning3D print växer kraftigtAmmann slutför förvärvet Framgångsrikt Konvent och 60-årsfirande
2024-06-03
Smidig materialhantering med ledstaplareSkärning när material är värmekänsliga ISCAR QUICK-X-FLUTEÄventyret börjar med Lesjöfors gasfjädrarOLSONS breddar programmet
2024-05-31
3D-printing för flexibel och innovativ tillverkning Karlslunds Marina på Dalarö väljer BioDisc® BN Framtidens svetsmetod Välj rätt kompressor för verkstaden Framstående teknik för effektiv kabelinstallation
2024-05-30
Ravema distribuerar ScandiTools Lännen deltar på Svenska Maskinmässan 2024 Nytillverkning av 77 år gammal reservdelDen optimala restaurangbelysningenVi hjälper företag