NailaoLocker: китайская разведка проникла в сердце европейской медицины

Специалисты Orange Cyberdefense обнаружили новую кампанию под названием Green Nailao, которая затронула несколько европейских медучреждений во второй половине 2024 года. Атаки включали использование инструментов ShadowPad и PlugX, а также внедрение ранее неизвестного шифровальщика NailaoLocker.

Злоумышленники использовали уязвимость CVE-2024-24919 (оценка CVSS: 8.6) в Check Point VPN, которая позволяла извлекать хэши паролей и получать доступ к учетным записям пользователей. Затем проводилась разведка сети и боковое перемещение с помощью RDP. В ходе атаки использовался метод DLL Sideloading, а также механизм внедрения кода через реестр Windows. В конечном итоге, на системах жертв был развернут модифицированный вариант ShadowPad.

Инфраструктура C2-серверов отличалась использованием поддельных сертификатов, имитирующих компании Intel и Dell. Сервера хостились на платформе VULTR. Для анонимизации атакующие использовали скомпрометированные IoT-устройства и узлы Proton VPN.

На заключительном этапе атаки хакеры пытались извлечь критически важные файлы, включая базу данных Active Directory (ntds.dit), содержащую пароли пользователей и другие учетные данные. Затем киберпреступники распространяли NailaoLocker, который шифровал файлы с использованием алгоритма AES-256-CTR, добавляя расширение «.locked». Вымогатели требовали выкуп в биткойнах и связаться через одноразовую почту ProtonMail.

Анализ NailaoLocker показал, что программа недостаточно продумана: она не сканирует сетевые диски, не завершает процессы, мешающие шифрованию, и не содержит механизмов обхода отладки. Это заставило исследователей предположить, что шифровальщик мог использоваться в качестве отвлекающего маневра, маскирующего основную цель — кибер шпионаж .

Хотя связь Green Nailao с конкретной APT -группировкой не установлена, эксперты считают, что используемые инструменты и тактики соответствуют типичным китайским операциям. ShadowPad традиционно связывают с кибершпионажем, а трехкомпонентная схема загрузки вредоносных файлов напоминает методы BRONZE UNIVERSITY. Кроме того, атаки на здравоохранение в интересах китайских кибергруппировок фиксировались и ранее.