IndigoZebra APT-Hacking-Kampagne zielt auf die afghanische Regierung

  • Cybersecurity-Forscher warnen vor laufenden Angriffen, die von einem mutmaßlich chinesisch sprechenden Bedrohungsakteur koordiniert werden und die afghanische Regierung als Teil einer Spionagekampagne zum Ziel haben, deren Ursprünge möglicherweise bis in das Jahr 2014 zurückreichen.

    Die israelische Cybersecurity-Firma Check Point Research schreibt die Angriffe einer Hackergruppe zu, die unter dem Namen “IndigoZebra” bekannt ist und in der Vergangenheit bereits andere zentralasiatische Länder, darunter Kirgisistan und Usbekistan, angegriffen hat.

    “Die Bedrohungsakteure hinter der Spionage nutzten Dropbox, den beliebten Cloud-Speicherdienst, um den afghanischen Nationalen Sicherheitsrat (NSC) zu infiltrieren”, sagten die Forscher in einem technischen Bericht, der mit The Hacker News geteilt wurde, und fügten hinzu, dass sie “eine Täuschung im Stil eines Ministeriums zu einem Ministerium orchestrierten, bei der eine E-Mail an ein hochrangiges Ziel aus den Postfächern eines anderen hochrangigen Opfers gesendet wird.

    [Blocked Image: https://thehackernews.com/images/-u_TFlX83-es/YMt1oTeur5I/AAAAAAAA4Q0/KR6i59vv_vIwmmg08UXTwO08_FGRyPjmQCLcBGAsYHQ/s300-e100/free-ad-9-300.png]

    IndigoZebra wurde erstmals im August 2017 bekannt, als Kaspersky über eine verdeckte Operation berichtete, bei der ehemalige Sowjetrepubliken mit einer breiten Palette von Malware wie Meterpreter, Poison Ivy RAT, xDown und einer bisher nicht dokumentierten Malware namens xCaon ausgenommen wurden.

    Die Untersuchung der Angriffe durch Check Point begann im April, als NSC-Beamte anfingen, Lock-E-Mails zu erhalten, die angeblich vom Verwaltungsbüro des Präsidenten von Afghanistan stammten.

    [Blocked Image: https://thehackernews.com/images/-pPfLFUsTGHI/YN2O_w3Q7pI/AAAAAAAADDg/xmOBDe4JB2Ed2NOaSYP9lF-s5r6rzlbzQCLcBGAsYHQ/s0/map.jpg]

    Während die Nachricht die Empfänger aufforderte, Änderungen in einem angehängten Dokument zu überprüfen, das sich auf eine anstehende Pressekonferenz des NSC bezog, stellte sich heraus, dass das Öffnen der Köderdatei – ein passwortgeschütztes RAR-Archiv (“NSC Press conference.rar”) – eine Infektionskette auslöste, die in der Installation einer Backdoor (“spools.exe”) auf dem Zielsystem gipfelte.

    Zusätzlich schleusten die Angriffe bösartige Befehle in den Opfercomputer ein, die mithilfe der Dropbox-API getarnt wurden, wobei das Implantat für jeden kompromittierten Host einen eindeutigen Ordner in einem vom Angreifer kontrollierten Dropbox-Konto erstellte.

    Die Backdoor mit dem Namen “BoxCaon” ist in der Lage, auf dem Gerät gespeicherte vertrauliche Daten zu stehlen, beliebige Befehle auszuführen und die Ergebnisse zurück in den Dropbox-Ordner zu exfiltrieren. Die Befehle (“c.txt”) selbst werden in einem separaten Unterordner namens “d” im Dropbox-Ordner des Opfers abgelegt, der von der Malware vor der Ausführung abgerufen wird.

    [Blocked Image: https://thehackernews.com/images/-c9dgmAKoN_s/YLy9MwSA5HI/AAAAAAAA4BI/hJfAZal3vaMbpnSbjpBWkZ-bT_62BsztwCLcBGAsYHQ/s728-e100/auth_728.jpg]

    Die Verbindung von BoxCaon zu IndigoZebra ergibt sich aus den Gemeinsamkeiten der Malware mit xCaon. Check Point hat nach eigenen Angaben etwa 30 verschiedene Samples von xCaon identifiziert – die frühesten stammen aus dem Jahr 2014 -, die alle das HTTP-Protokoll für die Command-and-Control-Kommunikation nutzen.

    Die von den Forschern analysierten Telemetriedaten ergaben außerdem, dass die HTTP-Varianten in erster Linie politische Einrichtungen in Kirgisistan und Usbekistan im Visier haben, was auf eine Verlagerung der Zielsetzung in den letzten Jahren und ein überarbeitetes Toolset hindeutet.

    “Was hier bemerkenswert ist, ist, wie die Bedrohungsakteure die Taktik der Täuschung von Ministerium zu Ministerium nutzten”, sagte Lotem Finkelsteen, Leiter der Abteilung Threat Intelligence bei Check Point.

    “Diese Taktik ist bösartig und effektiv, wenn es darum geht, jemanden dazu zu bringen, etwas für einen zu tun; und in diesem Fall wurden die bösartigen Aktivitäten auf den höchsten Ebenen der Souveränität beobachtet. Außerdem ist es bemerkenswert, wie die Bedrohungsakteure Dropbox nutzen, um sich vor der Entdeckung zu verstecken.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com