Drei unterschiedliche Cluster von China-Nexus-Angriffen aufgedeckt
Eine nicht namentlich genannte südostasiatische Regierung wurde im Rahmen von Spionagekampagnen, die sich über einen längeren Zeitraum gegen die Region richteten, von mehreren China-Nexus-Bedrohungsakteuren angegriffen.
„Obwohl diese Aktivitäten zur gleichen Zeit und in einigen Fällen sogar gleichzeitig auf den Rechnern der gleichen Opfer stattfanden, zeichnet sich jedes Cluster durch unterschiedliche Tools, Vorgehensweisen und Infrastrukturen aus“, so die Forscher der Palo Alto Networks Unit 42 in einem ausführlichen dreiteiligen Bericht.
Die Angriffe, die auf verschiedene staatliche Einrichtungen wie kritische Infrastrukturen, öffentliche Gesundheitseinrichtungen, öffentliche Finanzverwaltungen und Ministerien abzielten, wurden mit mittlerer Wahrscheinlichkeit drei verschiedenen Clustern zugeschrieben, die als Stately Taurus (auch bekannt als Mustang Panda), Alloy Taurus (auch bekannt als Granite Typhoon) und Gelsemium bezeichnet werden.
Mustang Panda verwendet die TONESHELL-Variante und ShadowPad
„Die Angreifer führten eine Cyberspionage-Operation durch, die sich auf das Sammeln von Informationen sowie den Diebstahl sensibler Dokumente und Informationen konzentrierte, während sie gleichzeitig ein festes, verborgenes Standbein aufrechterhielten“, so die Forscher, welche die Operation als sehr „zielgerichtet und nachrichtendienstlich motiviert“ beschreiben.
Die Aktivitäten erstreckten sich vom zweiten Quartal 2021 bis zum dritten Quartal 2023, wobei eine Reihe von Tools zur Aufklärung, zum Diebstahl von Zugangsdaten, zur Aufrechterhaltung des Zugangs und zur Durchführung von Aktionen nach der Kompromittierung eingesetzt wurden.
Einige der bemerkenswerten Software-Tools, die zur Erreichung dieser Ziele eingesetzt werden, sind das Open-Source-Scan-Framework LadonGo, AdFind, Mimikatz, Impacket, China Chopper Web Shells, Cobalt Strike, ShadowPad und eine neue Version der TONESHELL-Backdoor.
Die Malware verzichtet auf die Verwendung von Shellcode und verwendet stattdessen drei DLL-basierte Komponenten, um auf dem Endgerät zu verharren, eine Befehls- und Kontrollkommunikation mit einem Remote-Server herzustellen und Informationen zu sammeln, einschließlich der Ausführung von Befehlen, der Interaktion mit dem Dateisystem, dem Keylogging und der Bildschirmaufnahme.
„Während der Operation übernahm der Bedrohungsakteur langsam die Kontrolle über die Umgebungen der Opfer mit der Absicht, diese Kontrolle langfristig zu behalten“, so die Forscher. „Das Ziel der Bemühungen des Bedrohungsakteurs scheint das kontinuierliche Sammeln und Exfiltrieren von sensiblen Dokumenten und Informationen zu sein.“
Alloy Taurus zielt darauf ab, unter dem Radar zu fliegen
Die mit Alloy Taurus in Verbindung gebrachten Angriffe sollen Anfang 2022 begonnen und 2023 fortgesetzt worden sein, wobei ungewöhnliche Techniken eingesetzt und Sicherheitsprodukte umgangen wurden, um langfristig zu bestehen und Informationen zu sammeln.
Diese Angriffe, die in sechs verschiedenen Wellen erfolgten, nutzen Sicherheitslücken in Microsoft Exchange-Servern, um Web-Shells einzusetzen, die dann als Kanal für die Übermittlung zusätzlicher Nutzdaten dienen. Dazu zählen zwei bisher unbekannte .NET-Hintertüren, Zapoa und ReShell, um beliebige Befehle aus der Ferne auszuführen und sensible Daten abzugreifen.
Zapoa enthält auch Funktionen zum Extrahieren von Systeminformationen, zum Ausführen von Shellcode, zum Auflisten laufender Prozesse, zum Laden weiterer .NET-Assembly-Dateien, um seine Fähigkeiten zu erweitern, und zum Versehen von Dateien und Artefakten mit einem Zeitstempel, einer Technik namens Timestomping.
„Der Bedrohungsakteur, der hinter diesem Cluster steht, hat einen ausgereiften Ansatz gewählt, der Mehrwellen-Intrusionen und die Ausnutzung von Schwachstellen in Exchange-Servern als Hauptangriffsvektor verwendet“, so die Forscher.
In einigen Fällen wurde Alloy Taurus auch dabei beobachtet, wie er Anmeldedaten stahl, um durch den Missbrauch des Remote-Administrations-Tools AnyDesk, das bereits in der infiltrierten Umgebung vorhanden war, die Seitwärtsbewegung zu erleichtern.
Zu den weiteren von dem Bedrohungsakteur installierten Programmen gehören Cobalt Strike, Quasar RAT, HDoor (eine Hintertür, die zuvor von chinesischen Gruppen wie Naikon und Goblin Panda verwendet wurde), eine Gh0st RAT-Variante, bekannt als Gh0stCringe, und Winnti, ein multifunktionales Implantat, das die Fernsteuerung eines infizierten Rechners ermöglicht.
Gelsemium wählt anfällige IIS-Server aus
„Dieser einzigartige Cluster war über sechs Monate zwischen 2022 und 2023 aktiv“, so die Forscher. „Er enthielt eine Kombination seltener Tools und Techniken, die der Bedrohungsakteur nutzte, um heimlich Fuß zu fassen und Informationen von sensiblen IIS-Servern zu sammeln, die einer Regierungsbehörde in Südostasien gehören.“
Die Angriffsketten nutzen verwundbare Webserver, um Web-Shells zu installieren und Backdoors wie OwlProxy und SessionManager zu verbreiten, während gleichzeitig andere Tools wie Cobalt Strike, Meterpreter, Earthworm und SpoolFool für die Nachnutzung, das Tunneln von Befehls- und Kontrollverkehr und die Ausweitung von Privilegien eingesetzt werden.
OwlProxy ist ein HTTP-Proxy mit Backdoor-Funktionalität, der erstmals im April 2020 bekannt wurde. SessionManager, über den Kaspersky im Juli letzten Jahres berichtete, ist eine benutzerdefinierte Backdoor, die das Cookie-Feld in eingehenden HTTP-Anfragen auswertet, um die vom Angreifer erteilten Befehle zu extrahieren.
„Der Bedrohungsakteur erhielt Zugang durch die Verwendung mehrerer Web-Shells, nachdem er versucht hatte, mehrere Arten von Proxy-Malware und eine IIS-Backdoor zu installieren“, so die Forscher. „Da einige der Versuche des Bedrohungsakteurs, Malware zu installieren, nicht erfolgreich waren, lieferte er immer wieder neue Tools, was seine Fähigkeit zeigt, sich an den Eindämmungsprozess anzupassen.