Dropbox zur Maskierung von Malware-Bewegungen in einer Cyberspionage-Kampagne verwendet

  • Die laufende Spear-Phishing-Kampagne, die auf die afghanische Regierung abzielt, nutzt Dropbox als API, die keine Spuren der Kommunikation mit verrückten Websites hinterlässt.

    Chinesischsprachige Cyberspionage-Akteure haben die afghanische Regierung ins Visier genommen, indem sie Dropbox für die Command-and-Control-Kommunikation (C2) verwendet haben und so weit gegangen sind, sich als das Büro des Präsidenten auszugeben, um den afghanischen Nationalen Sicherheitsrat (NSC) zu infiltrieren, wie Forscher herausgefunden haben.

    Laut einem Bericht, der am Donnerstag von Check Point Research (CPR) veröffentlicht wurde, ist dies nur der jüngste Teil einer lang andauernden Operation, die bis ins Jahr 2014 zurückreicht, als dieselben Bedrohungsakteure auch die zentralasiatischen Länder Kirgisistan und Usbekistan ins Visier nahmen.

    Die mutmaßliche Advanced Persistent Threat (APT)-Gruppe wurde als IndigoZebra tituliert. Die Kapsersky-Forscher haben die APT ihrerseits in die Liste der chinesischsprachigen Akteure aufgenommen, die in ihrem APT-Trends-Bericht für das zweite Quartal 2017 aufgeführt sind.

    [Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

    Zu dieser Zeit sagte Kaspersky, dass die IndigoZebra-Kampagne mit “einer breiten Palette von Malware wie Meterpreter, Poison Ivy, xDown und einer bisher unbekannten Malware namens ‘xCaon’ auf ehemalige Sowjetrepubliken abzielte.” Laut Kaspersky-Bericht aus dem Jahr 2017 hatte die Kampagne Verbindungen zu anderen bekannten chinesischsprachigen Akteuren, auch wenn zu diesem Zeitpunkt keine eindeutige Zuordnung vorgenommen wurde.

    Laut CPR ist der Bericht vom Donnerstag das erste Mal, dass ein vollständigerer Satz von technischen Details in Bezug auf die Operation öffentlich bekannt gegeben wurde. Der Bericht enthält eine Analyse der xCaon-Backdoor sowie der neuesten Version, die CPR auf den Namen BoxCaon getauft hat und die den Cloud-Speicherdienst Dropbox als C2-Server verwendet.

    Aus dem Büro des Präsidenten von Afghanistan’.

    Wie so viele beginnt auch die IndigoZebra-Kampagne mit gefälschten E-Mails. CPR begann seine Untersuchung im April, als ein Beamter des afghanischen Nationalen Sicherheitsrats (NSC) eine E-Mail erhielt, die angeblich vom Verwaltungsbüro des Präsidenten von Afghanistan stammte. Die E-Mail forderte den Empfänger auf, die Änderungen in dem Dokument zu überprüfen, die sich auf eine bevorstehende Pressekonferenz des NSC bezogen.

    Obwohl man annimmt, dass der APT chinesischsprachig ist, und obwohl das Ziel die Regierung Afghanistans ist, wo die Amtssprache ein persischer Dialekt namens Dari ist, war die E-Mail in Englisch verfasst, wie der obige Screenshot zeigt. CPR erklärte gegenüber Threatpost, dass dies wahrscheinlich damit zu tun hat, dass das Thema der Köder-E-Mail mit einer Pressekonferenz zusammenhing.

    Die E-Mail hat einen vergifteten Anhang: ein passwortgeschütztes RAR-Archiv namens NSC Press Conference.rar. Sobald ein anvisierter Benutzer auf das Archiv klickt, fungiert die extrahierte Datei, NSC Press conference.exe, als Dropper.

    Um das Opfer, das die ausführbare Datei ausführt, in dem Glauben zu lassen, dass es tatsächlich ein Dokument im Zusammenhang mit einer Pressekonferenz öffnet, verwendeten die Angreifer einen “einfachen Trick”: Sie richteten die ausführbare Datei so ein, dass sie das erste Dokument auf dem Desktop des Opfers öffnet, wenn der Benutzer den Dropper ausführt. Unabhängig davon, ob der Dropper ein zu öffnendes Dokument gefunden hat, geht er weiter und führt die Hintertür zu C:userspublicspools.exe ab und aus.

    Mit dem BoxCaon-Dropper in Dropbox eingedrungen

    Die Backdoor kommuniziert mit einem vorkonfigurierten, für jedes Opfer einzigartigen Dropbox-Ordner in einem vom Angreifer kontrollierten Konto. Dieser dient als Adresse, über die die Backdoor weitere Befehle abruft und die gestohlenen Informationen speichert.

    Die Verwendung der legitimen Dropbox-API hilft dabei, den bösartigen Datenverkehr im Netzwerk des Ziels zu verschleiern, so die Forscher, da keine Kommunikation mit merkwürdigen Websites angezeigt wird.

    “Wenn die Angreifer eine Datei oder einen Befehl an den Opferrechner senden müssen, platzieren sie diese [in] den Ordner mit dem Namen “d” im Dropbox-Ordner des Opfers”, heißt es in dem Bericht. “Die Malware ruft diesen Ordner ab und lädt seinen gesamten Inhalt in den Arbeitsordner herunter. Wenn schließlich die Datei mit dem Namen ‘c.txt’ – die den Befehl des Angreifers enthält – in diesem Arbeitsordner vorhanden ist, führt die Backdoor diesen mithilfe der Umgebungsvariablen ComSpec aus, die normalerweise auf den Befehlszeileninterpreter (wie cmd.exe) verweist, und lädt die Ergebnisse zurück auf das Dropbox-Laufwerk hoch, während sie den Befehl vom Server löscht.”

    Die Hintertür stellt Persistenz her, indem sie einen Registrierungsschlüssel setzt, der jedes Mal ausgeführt wird, wenn sich ein Benutzer anmeldet.

    Die Forscher fanden fast 30 Samples der xCaon-Variante, jedes mit leicht unterschiedlicher Funktionalität, aber alle mit Ähnlichkeiten zur spools.exe BoxCaon-Backdoor. Eine dieser Ähnlichkeiten war eine “sehr spezifische” Implementierung der Befehlsausführung, sagten sie: “Zuerst wird die Zeichenkette ‘ComSpec’ auf dem Stack konstruiert, die gleiche Pfadbenennungskonvention für die Ausgabedatei verwendet und diese direkt nach der Ausführung gelöscht.”

    Die frühesten Beispiele, die sie gefunden haben, stammen aus dem Jahr 2014. Aufgrund von Ähnlichkeiten im Code und in der Funktionalität stellten die Forscher fest, dass die BoxCaon-Backdoor eine Variante der gleichen xCaon-Familie ist, die Kaspersky in seinem Bericht von 2017 erwähnte – “daher der Name”, sagten sie.

    Die Variante, die sie aufgespürt haben, ist die einzige xCaon-Version, die über die API von Dropbox in Klartextbefehlen kommuniziert, so die Forscher, im Gegensatz zu anderen Varianten, die das HTTP-Protokoll mit Base64+XOR-Verschlüsselung verwenden, um mit den eigenen C2-Servern der Angreifer zu kommunizieren.

    Die Dropbox-Variante (BoxCaon) wurde bei Beamten der afghanischen Regierung gesichtet, während die HTTP-Varianten auf politische Einrichtungen in Kirgisistan und Usbekistan abzielten.

    Die bösartigen Aktionen, die die Bedrohungsakteure ausführten:

    • Herunterladen und Ausführen eines Scanner-Tools, das von mehreren APT-Akteuren verwendet wird, darunter auch von der produktiven chinesischen Gruppe APT10.
    • Ausführung von in Windows integrierten Netzwerk-Tools.
    • Zugriff auf Dateien des Opfers, insbesondere auf Dokumente, die sich auf dem Desktop befinden.

    Anhaltendes Spearphishing gegen die afghanische Regierung

    Lotem Finkelsteen, Leiter der Abteilung Threat Intelligence bei Check Point Software, erklärte gegenüber Threatpost, dass die Erkennung von Cyberspionage für das Unternehmen “höchste Priorität” hat. “Dieses Mal haben wir eine laufende Spear-Phishing-Kampagne entdeckt, die auf die afghanische Regierung abzielt”, sagte er per E-Mail. “Wir haben Grund zu der Annahme, dass Usbekistan und Kirgisistan ebenfalls Opfer geworden sind. Wir haben unsere Erkenntnisse einem chinesisch sprechenden Bedrohungsakteur zugeschrieben.”

    Er nannte es “bemerkenswert”, dass die Bedrohungsakteure die Taktik der Täuschung von Ministerium zu Ministerium verwendeten. Eine solche Taktik ist sowohl “bösartig als auch effektiv”, sagte er, wenn es darum geht, “jemanden dazu zu bringen, alles für einen zu tun”. In diesem Fall wurde die bösartige Aktivität auf den höchsten Ebenen der Souveränität gesehen.

    Ein weiterer bemerkenswerter Aspekt ist die Verwendung von Dropbox, um ihre Spuren zu verwischen, sagte er: eine Technik, die “wir alle kennen sollten, und auf die wir alle aufpassen sollten.”

    Es ist möglich, dass auch andere Länder von dieser APT-Gruppe ins Visier genommen wurden, schloss er, “obwohl wir nicht wissen, wie viele oder welche Länder.” In seinem Bericht teilte CPR eine Liste anderer möglicher Domains, die bei dem Angriff verwendet wurden, in der Hoffnung, dass “ihre Namen von anderen Cyber-Forschern als Beitrag zu unseren eigenen Erkenntnissen genutzt werden können.”

    Schauen Sie sich unsere kostenlosen kommenden Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com