Spionageoperationen zielen auf Vietnam mit ausgeklügeltem RAT

Cyber Security News

Laut den Forschern stellt die FoundCore-Malware einen großen Schritt nach vorne dar, wenn es um Evasion geht.

Eine fortgeschrittene Cyberspionage-Kampagne, die auf Regierungs- und Militäreinrichtungen in Vietnam abzielte, wurde entdeckt, die ein Remote-Access-Tool (RAT) zur Durchführung von Spionageoperationen lieferte, so die Forscher.

Weitere Analysen ergaben, dass diese Kampagne von einer Gruppe durchgeführt wurde, die mit einer chinesischsprachigen Advanced Persistent Threat (APT) namens Cycldek (auch bekannt als Goblin Panda, APT 27 und Conimes) in Verbindung steht, so die Kaspersky-Forscher, die hinzufügten, dass die Gruppe mindestens seit 2013 aktiv ist.

Die in der Kampagne verwendete Malware mit dem Namen FoundCore ermöglicht es Angreifern, das Dateisystem zu manipulieren, Prozesse zu manipulieren, Screenshots zu erstellen und beliebige Befehle auszuführen.

[Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

Laut einer am Montag von Kaspersky veröffentlichten Analyse stellt dies einen großen Fortschritt in der Raffinesse der Gruppe dar. Zum Beispiel ist die Methode, die verwendet wird, um den bösartigen Code vor der Analyse zu schützen, einzigartig für chinesischsprachige Gruppen, so die Forscher.

“Die Header (das Ziel und die Quelle des Codes) für die endgültige Nutzlast wurden komplett entfernt, und die wenigen, die übrig blieben, enthielten inkohärente Werte”, erklärten sie. “Damit erschweren die Angreifer den Forschern das Reverse Engineering der Malware zur Analyse erheblich. Darüber hinaus sind die Komponenten der Infektionskette eng miteinander verbunden, was bedeutet, dass es schwierig – manchmal sogar unmöglich – ist, einzelne Teile isoliert zu analysieren, was ein vollständiges Bild der bösartigen Aktivitäten verhindert.”

[Blocked Image: https://alltechnews.de/daten/2021/04/Spionageoperationen-zielen-auf-Vietnam-mit-ausgekluegeltem-RAT.png]

Die FoundCore-Infektionsroutine (zum Vergrößern anklicken). Quelle: Kaspersky.

Die Kampagne nutzt auch Sideloading von Dynamic-Link-Libraries (DLLs). Dabei wird eine legitim signierte Datei dazu verleitet, eine bösartige DLL zu laden, wodurch die Angreifer Sicherheitsprodukte umgehen können.

“In dieser kürzlich entdeckten Kampagne führt die DLL-Sideloading-Infektionskette einen Shellcode aus, der die endgültige Nutzlast entschlüsselt: [FoundCore], der den Angreifern die volle Kontrolle über das infizierte Gerät gibt”, so die Analyse.

FoundCore: 4 Malware-Threads

Die letzte Nutzlast in der Infektionskette ist ein Remote-Administrations-Tool, das seinen Betreibern die volle Kontrolle über den Opferrechner gibt. Bei der Ausführung startet diese Malware vier Threads, so die Forscher: Der erste stellt die Persistenz her, indem er einen Dienst erstellt. Die zweite setzt unauffällige Informationen für den Dienst, indem sie u. a. dessen Felder Description, ImagePath und DisplayName ändert. Die dritte setzt eine leere Discretionary Access Control List (DACL) auf das dem aktuellen Prozess zugeordnete Image, um den Zugriff auf die zugrunde liegende bösartige Datei zu verhindern. DACL ist eine interne Liste, die an ein Objekt in Active Directory angehängt ist und angibt, welche Benutzer und Gruppen auf das Objekt zugreifen und welche Arten von Operationen sie mit dem Objekt durchführen können. Schließlich bootet ein Worker-Thread die Ausführung und stellt die Verbindung mit dem C2-Server her. Abhängig von seiner Konfiguration kann er auch eine Kopie von sich selbst in einen anderen Prozess injizieren.

Die Kommunikation mit dem Server kann entweder über rohe TCP-Sockets, die mit RC4 verschlüsselt sind, oder über HTTPS erfolgen.

In der Infektionskette wurde FoundCore auch beim Herunterladen von zwei weiteren Spyware-Programmen beobachtet. Die erste, DropPhone, sammelt Umgebungsinformationen vom Opfercomputer und sendet sie an DropBox. Die zweite, CoreLoader, führt Code aus, der der Malware hilft, die Erkennung durch Sicherheitsprodukte zu umgehen.

“Generell haben wir im letzten Jahr festgestellt, dass viele dieser chinesischsprachigen Gruppen mehr Ressourcen in ihre Kampagnen investieren und ihre technischen Fähigkeiten verfeinern”, so Mark Lechtik, Senior Security Researcher bei Kaspersky, in der Analyse. “Hier haben sie viele weitere Verschleierungsschichten hinzugefügt und das Reverse Engineering erheblich erschwert. Und das deutet darauf hin, dass diese Gruppen ihre Aktivitäten möglicherweise ausweiten wollen.”

Vietnam im Visier der APT

Die Analyse von Kaspersky ergab, dass Dutzende von Computern im Visier der Kampagne waren, wobei sich die überwiegende Mehrheit (80 Prozent) in Vietnam befand. Die anderen Ziele befanden sich in Zentralasien und in Thailand.

Die Firma deckte auch auf, dass die meisten Opfer zum Regierungs- oder Militärsektor gehörten. Allerdings gab es auch andere Zielsektoren, darunter die Diplomatie, das Bildungs- oder Gesundheitswesen.

“Im Moment mag es so aussehen, als ob diese Kampagne eher eine lokale Bedrohung ist, aber es ist sehr wahrscheinlich, dass die FoundCore-Backdoor in Zukunft in mehr Ländern in verschiedenen Regionen gefunden wird”, so Lechtik.

Pierre Delcher, Senior Security Researcher bei Kaspersky, fügte hinzu: “Da diese chinesischsprachigen Gruppen dazu neigen, ihre Taktiken untereinander auszutauschen, würde es uns nicht überraschen, die gleichen Verschleierungstaktiken in anderen Kampagnen zu finden. Wir werden die Bedrohungslandschaft aufmerksam auf ähnliche verdächtige Aktivitäten beobachten. Das Beste, was Unternehmen tun können, ist, sich über die neuesten Bedrohungsdaten auf dem Laufenden zu halten, damit sie wissen, wonach sie Ausschau halten müssen.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Unterirdische Märkte: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com