Кампания Green Nailao: угроза кибербезопасности в здравоохранении

Недавно был выявлен кластер угроз, известный как Green Nailao, который активно действует с июня 2024 года. Его основная цель — европейские организации в секторе здравоохранения. В данной кампании злоумышленники используют вредоносные программы ShadowPad и PlugX, известные своими связями с китайскими кибератаками, что усиливает обеспокоенность по поводу угроз кибербезопасности в этом критически важном секторе.
Технические детали атак
Злоумышленники применяют следующие методы:
- Перехват библиотек DLL для установки вредоносных программ.
- Использование обфусцированных версий ShadowPad для повышения сохранности.
- Развертывание ранее недокументированной программы-вымогателя NailaoLocker.
- Эксплуатация критической уязвимости CVE-2024-24919 в шлюзах безопасности Check Point.
Уязвимость, позволяющая злоумышленникам считывать данные и извлекать хэши паролей, активно использовалась с начала апреля до ее исправления в мае. Жертвы были скомпрометированы через шлюз, что дало злоумышленникам возможность подключиться к VPN, используя законные учетные данные. Затем они осуществили боковые перемещения и разведку в сети с помощью протокола RDP.
Методология атак
Для выполнения своей стратегии злоумышленники:
- Ручным способом загружали вредоносные библиотеки DLL в легитимные процессы.
- Использовали скомпрометированные легитимные исполняемые файлы в качестве загрузчиков.
- Демонстрировали методы блокировки процесса, что позволяет вводить код в приостановленные процессы.
Данные показывают, что хакеры также пытались утекать конфиденциальные файлы, такие как ntds.dit из Active Directory, что критично для информации об учетной записи пользователя и пароле. Для управления удаленными данными использовались методы архивации ZIP, а также законные приложения, подписанные известными поставщиками, что указывает на имитацию законной технологии.
Программа-вымогатель и финансовая мотивация
NailaoLocker отличается относительно простой конструкцией и выполняет асимметричное шифрование без дополнительных методов защиты. Атакующие использовали стандартные методы шифрования AES и отправляли уведомления о требовании выкупа. Это указывает на финансовую мотивацию операции, ссылающуюся на услуги киберпреступников низкого уровня.
Выводы и рекомендации
Хотя тактики, методы и процедуры (TTP) данного кластера имеют сходство с известными китайскими группами APT, такими как те, что участвуют в ShadowPad, этот кластер не был окончательно связан с конкретной группой. Двойная направленность Green Nailao на шпионаж и получение финансовой выгоды предполагает необычное сочетание целей.
Сектор здравоохранения продолжает оставаться популярной мишенью для китайских группировок, стремящихся к сбору стратегических данных. Green Nailao четко демонстрирует эволюцию хакерских тактик, сочетающую шпионаж и внедрение программ-вымогателей, отражая как возможности APT, так и киберпреступные тенденции. Команды по анализу угроз должны оставаться бдительными, поскольку динамика таких атак продолжает развиваться.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



