Chinesische LuoYu-Hacker nutzen Man-on-the-Side-Angriffe zur Verbreitung der WinDealer-Backdoor

  • Ein „extrem raffinierter“ chinesischsprachiger APT-Akteur mit dem Namen LuoYu wurde dabei beobachtet, wie er ein bösartiges Windows-Tool namens WinDealer verwendet, das über Man-on-the-Side-Angriffe verbreitet wird.

    „Diese bahnbrechende Entwicklung ermöglicht es dem Akteur, den Netzwerkverkehr während der Übertragung zu modifizieren, um bösartige Nutzdaten einzufügen“, so das russische Cybersicherheitsunternehmen Kaspersky in einem neuen Bericht. „Solche Angriffe sind besonders gefährlich und verheerend, weil sie keine Interaktion mit dem Ziel erfordern, um zu einer erfolgreichen Infektion zu führen.

    Bei den von LuoYu angegriffenen Organisationen, die seit 2008 aktiv sind, handelt es sich überwiegend um ausländische diplomatische Organisationen mit Sitz in China und Mitglieder der akademischen Gemeinschaft sowie um Finanz-, Verteidigungs-, Logistik- und Telekommunikationsunternehmen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEi_-K3ujJyseNaosNnhLT4kFwMqa3p3tEEUrubFuVeYgwn0KI3SbSYTIZpiktTIVa2fAtNtsXxtix7QrtE4ZP5vNRmHFD4qrBGj0olqnOsSI7I6VySy7YwG9Z1NKO-AoIqFnhnEuJnxKmWpusTa_42jRCTAeeHJ-BR872VkdtpWd6NZszi8te5rgBL1tg/s1600/SOC2-ads.png]

    Die Verwendung von WinDealer durch LuoYu wurde erstmals von der taiwanesischen Cybersicherheitsfirma TeamT5 auf der Japan Security Analyst Conference (JSAC) im Januar 2021 dokumentiert. Nachfolgende Angriffskampagnen nutzten die Malware, um japanische Einrichtungen anzugreifen, wobei vereinzelte Infektionen in Österreich, Deutschland, Indien, Russland und den USA gemeldet wurden.

    Weitere Tools, die zum Malware-Arsenal des Gegners gehören, sind PlugX und sein Nachfolger ShadowPad, die beide von einer Reihe chinesischer Bedrohungsakteure zur Erreichung ihrer strategischen Ziele eingesetzt wurden. Darüber hinaus ist bekannt, dass der Akteur auf Linux-, macOS- und Android-Geräte abzielt.

    WinDealer seinerseits wurde in der Vergangenheit über Websites verbreitet, die als Wasserlöcher fungieren, sowie in Form von trojanisierten Anwendungen, die sich als Instant-Messaging- und Video-Hosting-Dienste wie Tencent QQ und Youku tarnen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj5larTzIMeZxoVV-prF15LAtvDFAWKs_RL8UmiCcKkkejS2DSYQdar6l73miVU_TNzkdMjy_JvAh-cafVVl2rbkr1SN9fATNxBypMGXqakhK-raoAHNBJs7opQSUvL0gqsgmuvxt_A6uw9IQa9ZTf4OhIC1-7ODsNrmPMdEgEHCAtTRJlVwW5bbOP5/s728-e100/windealer.jpg]

    Der Infektionsvektor wurde jedoch inzwischen gegen eine andere Verbreitungsmethode ausgetauscht, bei der der automatische Update-Mechanismus ausgewählter legitimer Anwendungen genutzt wird, um bei „seltenen Gelegenheiten“ eine kompromittierte Version der ausführbaren Datei bereitzustellen.

    WinDealer, im Kern eine modulare Malware-Plattform, verfügt über alle üblichen Funktionen, die mit einer Backdoor verbunden sind, und ermöglicht es, vertrauliche Informationen abzusaugen, Screenshots zu erfassen und beliebige Befehle auszuführen.

    Die Besonderheit ist jedoch die Verwendung eines IP-Generierungsalgorithmus, mit dem ein Command-and-Control-Server (C2) zufällig aus einem Pool von 48.000 IP-Adressen ausgewählt wird, mit dem eine Verbindung hergestellt wird.

    „Die einzige Möglichkeit, dieses scheinbar unmögliche Netzwerkverhalten zu erklären, ist die Annahme, dass es einen Angreifer gibt, der in der Lage ist, den gesamten Netzwerkverkehr abzufangen und ihn bei Bedarf sogar zu verändern“, so das Unternehmen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Ein Man-on-the-Side-Angriff, der einem Man-in-the-Middle-Angriff ähnelt, ermöglicht es einem böswilligen Eindringling, beliebige Nachrichten zu lesen und in einen Kommunikationskanal einzuspeisen, aber keine von anderen Parteien gesendeten Nachrichten zu ändern oder zu löschen.

    Solche Angriffe beruhen in der Regel darauf, dass die Nachrichten strategisch so geplant werden, dass die böswillige Antwort mit den vom Angreifer bereitgestellten Daten als Antwort auf die Anfrage eines Opfers nach einer Webressource vor der eigentlichen Antwort des Servers gesendet wird.

    Die Tatsache, dass der Bedrohungsakteur in der Lage ist, eine so große Anzahl von IP-Adressen zu kontrollieren, könnte auch erklären, warum der Update-Mechanismus für echte Anwendungen gekapert wurde, um die WinDealer-Nutzdaten zu übermitteln, so Kaspersky weiter.

    „Man-on-the-Side-Angriffe sind extrem destruktiv, da die einzige Voraussetzung für einen Angriff auf ein Gerät darin besteht, dass es mit dem Internet verbunden ist“, so der Sicherheitsforscher Suguru Ishimaru.

    „Unabhängig davon, wie der Angriff durchgeführt wurde, besteht die einzige Möglichkeit für potenzielle Opfer, sich zu verteidigen, darin, extrem wachsam zu sein und über robuste Sicherheitsverfahren zu verfügen, wie z. B. regelmäßige Antiviren-Scans, die Analyse des ausgehenden Netzwerkverkehrs und eine umfassende Protokollierung, um Anomalien zu erkennen.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com