Кампания Green Nailao: угроза кибербезопасности в здравоохранении

Кампания Green Nailao: угроза кибербезопасности в здравоохранении

Недавно был выявлен кластер угроз, известный как Green Nailao, который активно действует с июня 2024 года. Его основная цель — европейские организации в секторе здравоохранения. В данной кампании злоумышленники используют вредоносные программы ShadowPad и PlugX, известные своими связями с китайскими кибератаками, что усиливает обеспокоенность по поводу угроз кибербезопасности в этом критически важном секторе.

Технические детали атак

Злоумышленники применяют следующие методы:

  • Перехват библиотек DLL для установки вредоносных программ.
  • Использование обфусцированных версий ShadowPad для повышения сохранности.
  • Развертывание ранее недокументированной программы-вымогателя NailaoLocker.
  • Эксплуатация критической уязвимости CVE-2024-24919 в шлюзах безопасности Check Point.

Уязвимость, позволяющая злоумышленникам считывать данные и извлекать хэши паролей, активно использовалась с начала апреля до ее исправления в мае. Жертвы были скомпрометированы через шлюз, что дало злоумышленникам возможность подключиться к VPN, используя законные учетные данные. Затем они осуществили боковые перемещения и разведку в сети с помощью протокола RDP.

Методология атак

Для выполнения своей стратегии злоумышленники:

  • Ручным способом загружали вредоносные библиотеки DLL в легитимные процессы.
  • Использовали скомпрометированные легитимные исполняемые файлы в качестве загрузчиков.
  • Демонстрировали методы блокировки процесса, что позволяет вводить код в приостановленные процессы.

Данные показывают, что хакеры также пытались утекать конфиденциальные файлы, такие как ntds.dit из Active Directory, что критично для информации об учетной записи пользователя и пароле. Для управления удаленными данными использовались методы архивации ZIP, а также законные приложения, подписанные известными поставщиками, что указывает на имитацию законной технологии.

Программа-вымогатель и финансовая мотивация

NailaoLocker отличается относительно простой конструкцией и выполняет асимметричное шифрование без дополнительных методов защиты. Атакующие использовали стандартные методы шифрования AES и отправляли уведомления о требовании выкупа. Это указывает на финансовую мотивацию операции, ссылающуюся на услуги киберпреступников низкого уровня.

Выводы и рекомендации

Хотя тактики, методы и процедуры (TTP) данного кластера имеют сходство с известными китайскими группами APT, такими как те, что участвуют в ShadowPad, этот кластер не был окончательно связан с конкретной группой. Двойная направленность Green Nailao на шпионаж и получение финансовой выгоды предполагает необычное сочетание целей.

Сектор здравоохранения продолжает оставаться популярной мишенью для китайских группировок, стремящихся к сбору стратегических данных. Green Nailao четко демонстрирует эволюцию хакерских тактик, сочетающую шпионаж и внедрение программ-вымогателей, отражая как возможности APT, так и киберпреступные тенденции. Команды по анализу угроз должны оставаться бдительными, поскольку динамика таких атак продолжает развиваться.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: