Evropske zdravstvene organizacije suočavaju se sa sofisticiranom sajber prijetnjom od novoidentifikovanog soja ransomware-a pod nazivom NailaoLocker, koji je raspoređen kao dio kampanje koju prati kao Green Nailao od strane Orange Cyberdefense CERT.
Napadi, koji su prvi put otkriveni između juna i oktobra 2024., iskorištavaju ranjivosti u Check Point VPN uređajima i koriste napredni backdoor kao što su ShadowPad i PlugX za infiltriranje u mreže.
Kampanja kombinuje alate za sajber špijunažu sa ransomware-om.
Dok su istraživači iz Orange Cyberdefense otkrili da ova kombinacija stvara hibridnu prijetnju koja ugrožava sigurnost podataka i kontinuitet rada u kritičnoj zdravstvenoj infrastrukturi.
Tehnički mehanizam i tok rada napada
Kampanja Green Nailao počinje s napadačima koji iskorištavaju CVE-2024-24919, kritičnu ranjivost u Check Point Security Gatewayima koji omogućavaju neovlašteni pristup VPN kredencijalima.
Kada uđu unutra, hakeri provode bočno kretanje preko RDP-a i postavljaju trostepeni lanac izvršavanja koji uključuje legitimne binarne datoteke, maliciozne DLL-ove i šifrovane korisne podatke.
Ključna komponenta je NailaoLoader, DLL bočno učitan putem legitimnih izvršnih datoteka usysdiag.exe(potpisao Beijing Huorong Network Technology).
Učitavač dešifruje teret ransomwareusysdiag.exe.dat -a ( ) koristeći prilagođeni algoritam:-
decrypted_byte = ((encrypted_byte + 0x4B) ^ 0x3F) - 0x4BOva rutina, promatrana u više uzoraka, uklanja .datdatoteku nakon dešifrovanja kako bi ometala forenzičku analizu.
Dešifrovana izvršna datoteka NailaoLocker tada kreira mutex ( Global\lockv7) kako bi se osiguralo pojedinačno izvršenje i počinje šifrovanje datoteka koristeći AES-256-CTR, dodajući .lockedekstenziju.
.webp)
Za razliku od sofisticiranih sojeva ransomware-a, NailaoLocker ispoljava operativne nedostatke: ignorira mrežne dijeljenja, ne uspijeva prekinuti procese koji zaključavaju datoteke i ostavlja dijagnostičke zapise u %ALLUSERPROFILE%\unlock_please_view_this_file_.
Ovi zapisnici nenamjerno pomažu osobama koje reaguju na incidente u identifikovanju grešaka u šifrovanju.
Ransomware ispušta poruku o otkupnini u kojoj se žrtve upućuju da kontaktiraju ProtonMail adresu i zahtijevaju plaćanje u bitkoinima.
.webp)
Analiza infrastrukture otkriva lažne TLS sertifikate koji oponašaju Intel i Dell, sa C2 serverima koji se nalaze na VULTR-u. Naime, kampanja koristi kompromitovane IoT uređaje u Švedskoj i Proton VPN izlazne čvorove za anonimizaciju.
Kampanja Green Nailao nosi obilježja kineske kibernetičke špijunažne grupe, posebno kroz korištenje ShadowPad-a, backdoor-a koji je pretežno povezan s APT-ovima Kine-nexus-a.
Forenzička preklapanja sa klasterima kao što je Cluster Alpha (koju je primijetio Sophos 2023.) dodatno pojačavaju ovu atribuciju. Međutim, dodavanje ransomware-a uvodi netipične ciljeve.
Analitičari pretpostavljaju da ransomware može imati dvostruke svrhe: maskiranje eksfiltracije podataka ili finansiranje širih špijunskih aktivnosti. Naime, napadači su pristupili ntds.ditbazi podataka Active Directory-a, sugerišući namjeru prikupljanja akreditiva za buduće operacije.
Ovo je u skladu sa istorijskim obrascima kineskih APT-ova koji ciljaju zdravstvene sektore radi geopolitičke inteligencije.
Organizacije se pozivaju da odmah zakrpe Check Point uređaje i prate obrasce bočnog učitavanja DLL-a.
Orange Cyberdefense preporučuje implementaciju detekcije ponašanja za AES-256-CTR procese enkripcije i blokiranje TLS certifikata koji ne odgovaraju legitimnim korporativnim izdavaocima.
Za zdravstvene subjekte, sprovođenje arhitekture nultog poverenja i segmentiranje kritičnih sistema ostaju od vitalnog značaja za ublažavanje kaskadnih uticaja.
Izvor: CyberSecurityNews
