Hacker aus China zielen auf vietnamesisches Militär und Regierung

Cyber Security News

Eine Hackergruppe, die mit einem chinesischsprachigen Bedrohungsakteur in Verbindung steht, wurde mit einer fortgeschrittenen Cyberspionage-Kampagne in Verbindung gebracht, die auf Regierungs- und Militäreinrichtungen in Vietnam abzielt.

Die Angriffe wurden mit geringem Vertrauen der fortgeschrittenen persistenten Bedrohung (APT) namens Cycldek (oder Goblin Panda, Hellsing, APT 27 und Conimes) zugeschrieben, die dafür bekannt ist, mindestens seit 2013 Spear-Phishing-Techniken zur Kompromittierung diplomatischer Ziele in Südostasien, Indien und den USA einzusetzen.

Laut Kaspersky-Forschern nutzt die Offensive, die zwischen Juni 2020 und Januar 2021 beobachtet wurde, eine Methode namens DLL-Side-Loading, um Shellcode auszuführen, der eine endgültige Nutzlast mit dem Namen “FoundCore” entschlüsselt.

[Blocked Image: https://thehackernews.com/images/-P7kvKFVSqWU/YGXEz3gk_tI/AAAAAAAA3uY/qiCyRaK_IA07iGtzVQCOTsnjHTYGR_gKgCLcBGAsYHQ/s728-e100/thn-728-2.png]

DLL-Side-Loading ist eine bewährte Technik, die von verschiedenen Bedrohungsakteuren als Verschleierungstaktik verwendet wird, um Antiviren-Abwehrsysteme zu umgehen. Durch das Laden bösartiger DLLs in legitime ausführbare Dateien soll ihre bösartige Aktivität unter einem vertrauenswürdigen System oder Software-Prozess maskiert werden.

In dieser von Kaspersky aufgedeckten Infektionskette lädt eine legitime Komponente von Microsoft Outlook eine bösartige Bibliothek namens “outlib.dll”, die “den beabsichtigten Ausführungsfluss des Programms entführt, um einen Shellcode zu dekodieren und auszuführen, der in einer Binärdatei, rdmin.src, platziert ist.”

Darüber hinaus verfügt die Malware über eine zusätzliche Schicht, die explizit dazu dient, den Code vor Sicherheitsanalysen zu schützen und ein Reverse-Engineering zu erschweren. Um dies zu erreichen, soll der Bedrohungsakteur hinter der Malware den größten Teil des Headers der Nutzlast entfernt und den Rest mit unzusammenhängenden Werten belassen haben.

[Blocked Image: https://thehackernews.com/images/-eN647CK5Pl8/YGwRdT9JU4I/AAAAAAAACLc/EzPSdwhjxkAHNRAoJUViYMS1HCJv64pOgCLcBGAsYHQ/s0/hacking.jpg]

Kaspersky sagte, die Methode “signalisiert einen großen Fortschritt in der Raffinesse für Angreifer in dieser Region”.

FoundCore gibt den Angreifern nicht nur die volle Kontrolle über das kompromittierte Gerät, sondern bietet auch die Möglichkeit, Befehle zur Manipulation des Dateisystems, zur Prozessmanipulation, zur Aufnahme von Screenshots und zur Ausführung beliebiger Befehle auszuführen. Es wurde festgestellt, dass bei Infektionen mit FoundCore auch zwei weitere Malware heruntergeladen wird. Die erste, DropPhone, sammelt umgebungsbezogene Informationen vom Opfercomputer und exfiltriert sie zu DropBox, während die zweite, CoreLoader, Code ausführt, der es der Malware ermöglicht, die Erkennung durch Sicherheitsprodukte zu umgehen.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

Die Cybersecurity-Firma geht davon aus, dass die Angriffe ihren Ursprung in einer Spear-Phishing-Kampagne oder anderen Vorläufer-Infektionen haben, die den Download von falschen RTF-Dokumenten von einer betrügerischen Website auslösen, was schließlich zum Einsatz von FoundCore führt.

Von den Dutzenden betroffenen Organisationen haben 80 % ihren Sitz in Vietnam und gehören zum Regierungs- oder Militärsektor oder sind anderweitig mit dem Gesundheitswesen, der Diplomatie, dem Bildungswesen oder der Politik verbunden; weitere Opfer wurden gelegentlich in Zentralasien und Thailand gesichtet.

“Unabhängig davon, welche Gruppe diese Kampagne orchestriert hat, stellt sie einen signifikanten Schritt nach oben in Bezug auf die Raffinesse dar”, schlussfolgerten die Forscher. “Hier haben sie viele weitere Ebenen der Verschleierung hinzugefügt und das Reverse Engineering erheblich erschwert.”

“Und das deutet darauf hin, dass diese Gruppen ihre Aktivitäten möglicherweise ausweiten wollen. Im Moment sieht es so aus, als ob diese Kampagne eher eine lokale Bedrohung ist, aber es ist sehr wahrscheinlich, dass die FoundCore-Backdoor in Zukunft in mehr Ländern in verschiedenen Regionen gefunden wird”, sagt Kaspersky Senior Security Researcher Mark Lechtik.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com