Hacker implantieren mehrere Hintertüren bei industriellen Zielen in Japan

Cyber Security News

Cybersecurity-Forscher haben am Dienstag Details einer ausgeklügelten Kampagne bekannt gegeben, bei der bösartige Hintertüren eingesetzt werden, um Informationen aus einer Reihe von Industriezweigen in Japan zu exfiltrieren.

Die von den Kaspersky-Forschern als “A41APT” bezeichneten Ergebnisse zeigen eine neue Reihe von Angriffen, die von APT10 (auch bekannt als Stone Panda oder Cicada) durchgeführt werden. Dabei wird bisher nicht dokumentierte Malware verwendet, um bis zu drei Nutzlasten wie SodaMaster, P8RAT und FYAnti zu liefern.

Die lang andauernde nachrichtendienstliche Operation trat erstmals im März 2019 in Erscheinung, wobei Aktivitäten erst im November 2020 entdeckt wurden, als Berichte über mit Japan verbundene Unternehmen auftauchten, die von dem Bedrohungsakteur in über 17 Regionen weltweit angegriffen wurden.

Die neuen, von Kaspersky aufgedeckten Angriffe sollen im Januar 2021 stattgefunden haben. Die Infektionskette nutzt einen mehrstufigen Angriffsprozess, wobei das anfängliche Eindringen über den Missbrauch von SSL-VPN unter Ausnutzung ungepatchter Schwachstellen oder gestohlener Anmeldedaten erfolgt.

[Blocked Image: https://thehackernews.com/images/-jr4rH4qKoXE/YGQurvEjyKI/AAAAAAAACIw/G5yaGNdhw4QmUqtNXU0e39WISdwRN2rCgCLcBGAsYHQ/s0/hacking.jpg]

Im Mittelpunkt der Kampagne steht eine Malware namens Ecipekac (“Tortenstück” in Umkehrung, aber mit einem Tippfehler), die ein vierstufiges “kompliziertes Ladeschema” durchläuft, indem sie vier Dateien verwendet, um “vier dateilose Lademodule nacheinander zu laden und zu entschlüsseln, um schließlich die endgültige Nutzlast in den Speicher zu laden.”

Während der Hauptzweck von P8RAT und SodaMaster im Herunterladen und Ausführen von Nutzdaten besteht, die von einem vom Angreifer kontrollierten Server abgerufen werden, hat die Untersuchung von Kaspersky keine Hinweise auf die genaue Malware ergeben, die auf den Ziel-Windows-Systemen bereitgestellt wird.

Interessanterweise ist die dritte Nutzlast, FYAnti, ein mehrschichtiges Lademodul, das zwei weitere Schichten durchläuft, um in der Endphase einen Fernzugriffstrojaner namens QuasarRAT (oder xRAT) auszuführen.

“Die Operationen und Implantate der Kampagne … sind bemerkenswert getarnt, was es schwierig macht, die Aktivitäten des Bedrohungsakteurs zu verfolgen”, so Kaspersky-Forscher Suguru Ishimaru. “Die wichtigsten Stealth-Merkmale sind die dateilosen Implantate, Obfuskation, Anti-VM und das Entfernen von Aktivitätsspuren.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com