Die vom chinesischen Staat gesponserte APT wird bei jüngsten Ransomware-Angreifern vermutet
Die Analysen von Sicherheitsforschern zu jüngsten Malware-Angriffen auf mehrere Unternehmen zeigen, dass eine von einem chinesischen Staat gesponserte Hacking-Gruppe, APT, möglicherweise an dieser Operation beteiligt ist.
Die Angreifer ereigneten sich im Jahr 2020 in mindestens fünf Unternehmen. Die Angreifer erreichten die Ziele über einen dritten Dienstanbieter, der durch einen anderen Drittanbieter infiziert wurde, sagten Forscher von Profero- und Security Joes-Firmen.
Die Bedrohungsakteure vertrauten auf BitLocker. Sie verschlüsseln erfolgreich mehrere Kerndienste mit einem Laufwerkverschlüsselungstool in Windows. Die mit DRBControl verknüpften Malware-Beispiele wurden von Trend Micro gemeldet und APT27 und Winnti zugeordnet, die seit 2010 aktiv waren.
Profero und Security Joes haben gemeinsam einen Bericht eingereicht, der eindeutig belegt, dass diese beiden Gruppen eine Clambling-Hintertür zu der in der DRBControl-Kampagne verwendeten verwenden. Außerdem entdeckten sie die ASPXSpy-Webshell, deren modifizierte Version in dem APT27 zugeschriebenen Angriff gesehen wurde.
In dem Bericht heißt es auch: “In Bezug darauf, wer hinter dieser spezifischen Infektionskette steht, gibt es in Bezug auf Code-Ähnlichkeiten und TTPs [Taktiken, Techniken und Verfahren] extrem starke Verbindungen zu APT27 / Emissary Panda.
Die böswilligen Akteure haben PlugX- und Clambing-Malware im Systemspeicher mithilfe einer älteren ausführbaren Google Updater-Datei bereitgestellt, die für das Laden auf der DLL-Seite anfällig ist.
“Für jedes der beiden Beispiele gab es eine legitime ausführbare Datei, eine schädliche DLL und eine Binärdatei, die aus Shellcode bestand, der dafür verantwortlich war, die Nutzdaten aus sich selbst zu extrahieren und im Speicher auszuführen. Beide Beispiele verwendeten den signierten Google Updater, und beide DLLs waren mit der Bezeichnung goopdate.dll, jedoch wurde die PlugX-Binärdatei Lizenz.rtf und die Clambling-Binärdatei English.rtf genannt. “
Darüber hinaus wurde eine Sicherheitsanfälligkeit aus dem Jahr 2017 (CVE-2017-0213) ausgenutzt, die angeblich ausgenutzt wurde, um die Berechtigungen auf dem System zu eskalieren.
Der Sicherheitsanalyst von Security Joes sagte, die wichtigste Erkenntnis aus diesen Angriffen sei die Beteiligung der Hacker-Gruppe an einer finanziell motivierten Kampagne.
Eine solche böswillige Gruppe ist ein Signal dafür, dass die Regierungen bei der Bekämpfung dieser Bedrohungen einen einheitlichen Ansatz verfolgen sollten, so die Forscher von Profero.