研究人员将基于Cheerscrypt Linux的勒索软件与中国黑客联系起来

最近发现的基于Linux的勒索软件毒株Cheerscrypt被公开为一个中国网络间谍组织的手工制品，该组织以经营短期勒索软件计划而闻名。

网络安全公司Sygnia将这些攻击归咎于其追踪到的一个名为“皇帝蜻蜓”(Emperor Dragonfly)的威胁行为者，该威胁行为者也被称为青铜星光(Secureworks)和DEV-0401 (Microsoft)。

该公司在与《黑客新闻》分享的一份报告中表示：“Dragonfly皇帝部署了由中国开发者为中国用户编写的开源工具。”。“这强化了‘皇帝蜻蜓’勒索软件运营商设在中国的说法”。

Cheerscrypt的使用是该集团在一年多时间内部署的一长串勒索软件系列的最新补充，包括LockFile、Atom Silo、Rook、Night Sky、Pandora和LockBit 2.0。

Secureworks在其对该集团的简介中指出，“青铜星光将勒索软件部署为烟幕而非经济利益，其潜在动机是窃取知识产权或进行间谍活动，这是合理的”。

2022年5月，Trend Micro首次记录了Cheerscrypt，称其有能力针对VMware ESXi服务器，这是一种久经考验的双重勒索策略的一部分，目的是迫使受害者支付赎金或面临数据泄露风险。

它还自称亲乌克兰，展示了“荣耀乌克兰！”他们的暗网数据泄露网站上的消息。

有趣的是，勒索软件与Babuk勒索软件的Linux版本重叠，后者的源代码于2021 9月泄露，同时也是蜻蜓王的车、夜空和潘多拉家族的基础。

威胁行为者的操作方式进一步突出了其对勒索软件攻击生命周期各个阶段的处理，从最初的访问到勒索软件部署，无需依赖附属机构和访问代理。微软将DEV-0401描述为“独狼”演员。

迄今为止观察到的感染链已利用Apache Log4j库中的关键Log4Shell漏洞，危害VMware Horizon服务器，以丢弃能够传递加密Cobalt Strike信标的PowerShell负载。

Sygnia表示，它还发现了另外三个与信标同步部署的基于围棋的工具：一个将记录的击键导出到阿里云的键盘记录器，一个名为iox的互联网代理工具，以及一个名NPS的隧道软件。

Cheerscrypt与帝王蜻蜓的联系源于初始访问向量、横向移动技术以及通过DLL侧加载部署加密的Cobalt Strike信标的相似性。

研究人员表示：“帝蜻蜓是一家总部位于中国的勒索软件运营商，这在当今的威胁环境中是罕见的。”研究人员补充道，“整个行动都是由一名威胁行为者完成的”。