Thông tin chi tiết ban đầu được phát hiện vào hồi tháng 10, mặc dù là một phần mềm độc hại mới, dường như chưa phát triển, nhưng Yanluowang đã sử dụng hàng loạt các cuộc tấn công có chủ đích vào các tổ chức lớn. Chúng cũng sử dụng AdFidn để thăm dò/ do thám.
Theo thông tin từ Symantec, phần mềm ransomware Yanluowang "hiện đang được tác nhân đe dọa sử dụng để thực hiện các cuộc tấn công có chủ đích vào các tập đoàn của Hoa Kỳ ít nhất từ tháng 8/2021". Lĩnh vực tài chính dường như là mục tiêu chính, ngoài ra chúng còn nhắm mục tiêu vào các công ty sản xuất, các dịch vụ CNTT, tư vấn và kỹ thuật.
Các công cụ, chiến thuật và quy trình (TTPs) mà chúng sử dụng gần giống với những công cụ mà những kẻ khai thác ransomware Thieflock sử dụng. Điều này cho thấy có thể tác nhân đe đã chuyển sang một họ phần mềm độc hại mới.
Thieflock là một ransomware như một dịch vụ (ransomware-as-a-service - RaaS) được phát triển bởi nhóm FiveHands và Symantec cho rằng có thể một nhánh của Thieflock trước đây đang vận hành Yanluowang hiện nay.
Symantec cho biết, giả định này dựa trên việc sử dụng các công cụ khôi phục mật khẩu tùy chỉnh, các công cụ quét mạng mã nguồn mở và các trình duyệt miễn phí trong các cuộc tấn công. Tuy nhiên, hai họ ransomware dường như không chia sẻ quyền tác giả.
Là một phần của các cuộc tấn công Yanluowang được quan sát gần đây, PowerShell cũng được sử dụng để tải các tải trọng (payload) khác nhau lên những máy bị xâm nhập và RDP (Remote Desktop Protocol) được kích hoạt để đăng ký truy cập từ xa vào máy bị xâm phạm. Công cụ truy cập từ xa ConnectWise cũng đang được triển khai.
Những kẻ tấn công sử dụng AdFind để truy vấn Active Directory (một dịch vụ thư mục) và nhận dạng các hệ thống được quan tâm để mở rộng địa bàn khai thác. SoftPerfect Network Scanner (một quy trình quét) cũng được sử dụng cùng với các công cụ lấy cắp thông tin xác thực khác nhau, bao gồm GrabFF, GrabChrome, BrowserPassView và KeeThief.
Symantec cũng đã xác định việc sử dụng các công cụ chụp ảnh màn hình và trích xuất tệp tin, sự hiện diện Cobalt Strike Beacon (công cụ cho phép kẻ tấn công sửa đổi các chỉ số mạng) trên hệ thống của một tổ chức và việc sử dụng các công cụ như ProxifierPE./.
