Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Hacker entwickeln Techniken, um Cybersicherheitslösungen zu umgehen
7. April 2023. TuxCare PR Team
Laut einer aktuellen Kampagne von Earth Preta werden mit China verbündete Hacker immer geschickter bei der Umgehung von Sicherheitslösungen. Der Bedrohungsakteur ist mindestens seit 2012 aktiv und ist unter den Namen Bronze President, HoneyMyte, Mustang Panda, RedDelta und Red Lich bekannt.
Die Gruppe initiiert Angriffsketten mit Spear-Phishing-E-Mails und setzt eine Reihe von Tools für Backdoor-Zugang, Command-and-Control (C2) und Datenexfiltration ein. Die Nachrichten enthalten bösartige Köderarchive, die über Dropbox- oder Google Drive-Links verteilt werden und DLL-Side-Loading, LNK-Verknüpfungsdateien und gefälschte Dateierweiterungen als Ankunftsvektoren verwenden, um Fuß zu fassen und Backdoors wie TONEINS, TONESHELL, PUBLOAD und MQsTTang (auch bekannt als QMAGENT) einzuschleusen.
Laut einer neuen, von Trend Micro veröffentlichten Analyse neigt Earth Preta dazu, bösartige Nutzdaten in gefälschten Dateien zu verstecken und sie als legitime Dateien zu tarnen - eine Technik, die sich als effektiv erwiesen hat, um eine Entdeckung zu vermeiden. Diese Einstiegsmethode, die erstmals im vergangenen Jahr entdeckt wurde, ist inzwischen geändert worden. Der Download-Link zum Archiv ist in ein anderes Täuschungsdokument eingebettet und die Datei ist passwortgeschützt, um E-Mail-Gateway-Lösungen zu umgehen.
Die Forscher sagten: "Die Dateien können dann über das im Dokument angegebene Passwort extrahiert werden. Mit dieser Technik kann der böswillige Akteur hinter dem Angriff die Scandienste erfolgreich umgehen".
Sobald die Hacker den ersten Zugriff auf die Umgebung des Opfers erlangt haben, gehen sie zu den Phasen der Kontenermittlung und Privilegienerweiterung über. Mustang Panda nutzt benutzerdefinierte Tools wie ABPASS und CCPASS, um die Benutzerkontensteuerung (UAC) in Windows 10 zu umgehen.
Außerdem wurde beobachtet, dass der Bedrohungsakteur Malware wie "USB Driver.exe" (HIUPAN oder MISTCLOAK) und "rzlog4cpp.dll" (ACNSHELL oder BLUEHAZE) einsetzt, um sich auf Wechseldatenträgern zu installieren und eine Reverse Shell zu erstellen, mit dem Ziel, sich seitlich im Netzwerk zu bewegen.
Zu den weiteren eingesetzten Tools gehören CLEXEC, eine Backdoor, die Befehle ausführen und Ereignisprotokolle löschen kann, COOLCLIENT und TROCLIENT, Implantate, die Tastatureingaben aufzeichnen und Dateien lesen und löschen können, sowie PlugX. "Neben den bekannten legitimen Tools haben die Bedrohungsakteure auch hochgradig angepasste Tools für die Exfiltration entwickelt", so die Forscher. Dazu gehören NUPAKAGE und ZPAKAGE, die beide dafür ausgestattet sind, Microsoft Office-Dateien zu sammeln.
Die Untersuchung zeigt, dass chinesische Cyberspionageakteure ihr operatives Tempo erhöhen und kontinuierlich in die Weiterentwicklung ihrer Cyberwaffen investieren, um einer Entdeckung zu entgehen. "Earth Preta ist ein fähiger und organisierter Bedrohungsakteur, der seine TTPs kontinuierlich verfeinert, seine Entwicklungskapazitäten stärkt und ein vielseitiges Arsenal an Tools und Malware aufbaut", so die Schlussfolgerung der Forscher.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
