Программа-вымогатель Cheerscrypt была связана с китайской хакерской группой под названием «Императорская стрекоза», которая, как известно, часто переключается между семействами программ-вымогателей, чтобы избежать установления авторства.
Банда вымогателей отслеживается под разными именами, такими как Bronze Starlight (Secureworks) и DEV-0401 (Microsoft), и с 2021 года замечена в использовании самых разных семейств программ-вымогателей.
Хотя хакерская группа, по-видимому, действует как программа-вымогатель, предыдущие исследования показывают, что многие из их жертв представляют интерес для китайского правительства.
Это привело исследователей к мысли, что действия хакерской группы по вымогательству могут быть прикрытием для кампаний кибершпионажа, спонсируемых китайским правительством.
Во время реагирования на инцидент в начале этого года эксперты по безопасности Sygnia определили, что хакеры использовали уязвимость Apache «Log4Shell» Log4j (CVE-2021-44228) для выполнения команд PowerShell, которые инициируют технику загрузки DLL, характерную для TTP Night Sky.
Затем злоумышленники сбросили маяк Cobalt Strike, подключенный к адресу C2, ранее связанному с операциями Night Sky.
Злоумышленники развернули три инструмента Go, редко встречающиеся в среде программ-вымогателей: модифицированный кейлоггер Aliyun OSS, настроенную версию инструмента переадресации портов и прокси-сервера «IOX» и настроенную версию инструмента туннелирования «NPS».
После разведки и бокового перемещения, следуя по стопам прошлых атак Night Sky, развернутый штамм вымогателя был не Night Sky, а Cheerscrypt, шифрующим машины Windows и Linux ESXi.
