Chinesische Hacker greifen militärische Organisationen mit neuer Backdoor an

Cyber Security News

Cybersecurity-Forscher haben am Mittwoch eine neue Cyberspionage-Kampagne aufgedeckt, die auf militärische Organisationen in Südostasien abzielt.

Die Cybersecurity-Firma Bitdefender schreibt die Angriffe einem Bedrohungsakteur mit dem Namen “Naikon APT” zu und beschreibt die sich ständig ändernden Taktiken, Techniken und Verfahren, die von der Gruppe angewandt werden, einschließlich der Einbindung neuer Hintertüren namens “Nebulae” und “RainyDay” in ihre Datenklau-Missionen. Die bösartigen Aktivitäten sollen zwischen Juni 2019 und März 2021 durchgeführt worden sein.

“Zu Beginn der Operation verwendeten die Bedrohungsakteure Aria-Body Loader und Nebulae als erste Stufe des Angriffs”, so die Forscher. “Ab September 2020 nahmen die Bedrohungsakteure die RainyDay-Backdoor in ihr Toolkit auf. Der Zweck dieser Operation war Cyberspionage und Datendiebstahl.”

[Blocked Image: https://thehackernews.com/images/-VPdopHKQm-E/YHc_0fLCVlI/AAAAAAAA3w0/c2kzWXa0ALMLtjaAeSkI0cc7-FjPV3IswCLcBGAsYHQ/s728-e100/thn-728-4.png]

Naikon (auch bekannt als “Override Panda”, “Lotus Panda” oder “Hellsing”) soll mit China in Verbindung stehen und hat es auf der Suche nach geopolitischen Informationen immer wieder auf Regierungsstellen im asiatisch-pazifischen Raum (APAC) abgesehen. Ursprünglich wurde angenommen, dass Naikon bereits seit 2015 aktiv ist, doch im Mai letzten Jahres wurden Beweise für das Gegenteil gefunden, als der Angreifer eine neue Hintertür namens “Aria-Body” nutzte, um heimlich in Netzwerke einzudringen und die kompromittierte Infrastruktur als Command-and-Control (C2)-Server zu nutzen, um weitere Angriffe gegen andere Organisationen zu starten.

[Blocked Image: https://thehackernews.com/images/-qEIEjE25sGo/YIqF9ZPLIuI/AAAAAAAACaE/RHU3831FA7YvmVs58GtIUjdu8VOPmez1gCLcBGAsYHQ/s0/linux-malware.jpg]

Die neue Angriffswelle, die von Bitdefender identifiziert wurde, nutzte RainyDay als primäre Backdoor, die von den Akteuren dazu verwendet wurde, Aufklärungsarbeit zu leisten, zusätzliche Payloads zu liefern, laterale Bewegungen im Netzwerk durchzuführen und sensible Informationen zu exfiltrieren. Die Backdoor wurde mittels einer Technik ausgeführt, die als DLL-Side-Loading bekannt ist. Dies bezieht sich auf die bewährte Methode, bösartige DLLs zu laden, um zu versuchen, den Ausführungsfluss eines legitimen Programms wie Outlook Item Finder zu kapern.

[Blocked Image: https://thehackernews.com/images/-J2_tCNGDMKA/YHc_zdc4MhI/AAAAAAAA3wo/gfFnHKGV_gcrTkZ3sOMoDg5N-wg_cKOGQCLcBGAsYHQ/s300-e100/thn-300-4.png]

Als zusätzliche Vorsichtsmaßnahme installierte die Malware auch ein zweites Implantat namens Nebulae, um Systeminformationen zu sammeln, Dateioperationen durchzuführen und beliebige Dateien vom und auf den C2-Server herunter- und hochzuladen. “Die zweite Hintertür […] wird vermutlich als Vorsichtsmaßnahme verwendet, um die Persistenz nicht zu verlieren, falls irgendwelche Anzeichen von Infektionen entdeckt werden”, so die Forscher.

Zu den weiteren Tools, die von der RainyDay-Backdoor eingesetzt werden, gehören ein Tool, das kürzlich geänderte Dateien mit bestimmten Erweiterungen ausliest und in Dropbox hochlädt, ein Credential Harvester sowie verschiedene Netzwerk-Utilities wie NetBIOS-Scanner und Proxys.

Außerdem sagte Bitdefender, dass es sich bei RainyDay wahrscheinlich um dieselbe Malware handelt, die Kaspersky Anfang des Monats enthüllte, und verwies auf Ähnlichkeiten in der Funktionalität und die Verwendung von DLL-Side-Loading, um die Ausführung zu erreichen. Die Backdoor mit dem Namen “FoundCore” wurde einem chinesisch sprechenden Akteur namens Cycldek zugeschrieben und war Teil einer Cyberspionage-Kampagne, die sich gegen Regierungs- und Militärorganisationen in Vietnam richtete.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com