Chinesische Hacker implantieren PlugX-Variante auf kompromittierten MS Exchange-Servern

  • Eine chinesische Cyberspionage-Gruppe, die dafür bekannt ist, Südostasien ins Visier zu nehmen, nutzte Schwachstellen im Microsoft Exchange Server, die Anfang März dieses Jahres bekannt wurden, um eine bisher nicht dokumentierte Variante eines Remote Access Trojaners (RAT) auf kompromittierten Systemen einzusetzen.

    Das Bedrohungsanalyse-Team Unit 42 von Palo Alto Networks schreibt die Angriffe einem Bedrohungsakteur namens PKPLUG (auch bekannt als Mustang Panda und HoneyMyte) zu und gab an, eine Version der modularen PlugX-Malware namens Thor identifiziert zu haben, die als Post-Exploitation-Tool auf einem der angegriffenen Server installiert wurde. PlugX stammt bereits aus dem Jahr 2008 und ist ein voll funktionsfähiges Second-Stage-Implantat mit Funktionen wie dem Hochladen, Herunterladen und Ändern von Dateien, der Protokollierung von Tastatureingaben, der Steuerung der Webcam und dem Zugriff auf eine Remote-Befehlsshell.

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    “Die beobachtete Variante […] ist insofern einzigartig, als sie eine Änderung des Kern-Quellcodes enthält: das Ersetzen des Markenzeichens ‘PLUG’ durch ‘THOR'”, schreiben die Unit 42-Forscher Mike Harbison und Alex Hinchliffe in einem am Dienstag veröffentlichten technischen Bericht. “Das früheste THOR-Beispiel, das entdeckt wurde, stammt vom August 2019 und ist das früheste bekannte Beispiel für den umbenannten Code. Bei dieser Variante wurden neue Funktionen beobachtet, darunter verbesserte Mechanismen zur Auslieferung von Nutzdaten und der Missbrauch von vertrauenswürdigen Binärdateien.”

    [Blocked Image: https://thehackernews.com/images/-KAl9K6GDuU4/YQE2YvOqVtI/AAAAAAAADXM/fQt-GV49LLYUB5YPAq8T2HaQA8Y2wk8ngCLcBGAsYHQ/s728-e1000/malware-attack.jpg]

    Nachdem Microsoft am 2. März bekannt gegeben hatte, dass in China ansässige Hacker – mit dem Codenamen Hafnium – Zero-Day-Fehler in Exchange-Servern ausnutzen, um sensible Daten ausgewählter Ziele zu stehlen, wurden mehrere Bedrohungsakteure wie Ransomware-Gruppen (DearCry und Black Kingdom) und Krypto-Mining-Banden (LemonDuck) dabei beobachtet, wie sie die Schwachstellen ausnutzten, um Exchange-Server zu kapern und eine Web-Shell zu installieren, die die Ausführung von Code auf höchster Berechtigungsebene ermöglichte.

    Laut Unit 42 gesellt sich nun auch PKPLUG zu dieser Liste. Die Angreifer umgingen Antiviren-Erkennungsmechanismen, um Microsoft Exchange Server anzugreifen, indem sie legitime ausführbare Programme wie BITSAdmin nutzten, um eine scheinbar harmlose Datei (“Aro.dat”) aus einem von den Akteuren kontrollierten GitHub-Repository abzurufen. Die Datei, die die verschlüsselte und komprimierte PlugX-Nutzlast enthält, verweist auf ein frei verfügbares fortschrittliches Reparatur- und Optimierungswerkzeug, das Probleme in der Windows-Registrierung bereinigt und behebt.

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Das neueste PlugX-Sample ist mit einer Vielzahl von Plug-ins ausgestattet, die “Angreifern verschiedene Möglichkeiten bieten, das kompromittierte System zu überwachen, zu aktualisieren und mit ihm zu interagieren, um ihre Ziele zu erreichen”, so die Forscher. Die Verbindungen von THOR zu PKPLUG ergeben sich aus dem Zusammensetzen der Befehls- und Kontrollinfrastruktur sowie aus Überschneidungen bei den bösartigen Verhaltensweisen, die bei anderen kürzlich entdeckten PlugX-Samples festgestellt wurden.

    Weitere Indikatoren für eine Kompromittierung im Zusammenhang mit dem Angriff können hier eingesehen werden. Unit 42 hat außerdem ein Python-Skript zur Verfügung gestellt, mit dem verschlüsselte PlugX-Nutzdaten entschlüsselt und entpackt werden können, ohne dass die zugehörigen PlugX-Loader vorhanden sind.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com