>
Research (Insikt)

RedAlpha: Neue Kampagnen gegen die tibetische Gemeinschaft entdeckt

Veröffentlicht: 26. Juni 2018
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.

Hinweis zum Geltungsbereich: Recorded Future hat neue Schadsoftware analysiert, die auf die tibetische Gemeinschaft abzielt. Dieser Bericht enthält eine detaillierte Analyse der Schadsoftware selbst und der zugehörigen Infrastruktur. Zu den Quellen zählen die Plattform von Recorded Future, VirusTotal, ReversingLabs und Metadaten von Drittanbietern sowie allgemeine OSINT- und Netzwerk-Metadatenanreicherungen wie DomainTools Iris und PassiveTotal sowie die Zusammenarbeit von Forschern.1 Diese Forschung verfolgt einen zweifachen Zweck: Sie soll Indikatoren liefern, die zum Schutz möglicher Opfer eingesetzt werden können, und das Bewusstsein für eine mögliche Verschiebung gegnerischer TTPs schärfen.

Executive Summary

Die Insikt Group von Recorded Future hat zwei neue Cyberspionagekampagnen identifiziert, die sich in den letzten zwei Jahren gegen die tibetische Gemeinschaft richteten. Die Kampagnen, die wir zusammenfassend RedAlpha nennen, kombinieren leichte Aufklärung, selektives Zielen und verschiedene bösartige Werkzeuge. Wir entdeckten diese Aktivität als Folge der Abkehr von einer neuen Malware-Probe, die auf die in Indien ansässige tibetische Gemeinschaft abzielte.

Die Analyse der Insikt Group hinsichtlich der Infrastrukturüberschneidungen zwischen den neuen Kampagnen zeigt, dass neben den Regierungen Süd- und Südostasiens auch die chinesischen „Fünf Gifte“2 im Visier sind. Da die Kampagne auf mit „Five Poisons“ verbundene Organisationen abzielte, es eine Überlappung der Infrastruktur gab und Links zu Malware gab, die von anderen chinesischen APTs verwendet wurde, die wir im Rahmen unserer Untersuchungen aufgedeckt haben, gehen wir mit mittlerer Sicherheit davon aus, dass die RedAlpha-Kampagnen von einer chinesischen APT durchgeführt wurden.

Wichtige Urteile

  • Die beiden neu entdeckten RedAlpha-Kampagnen, die sich gegen die tibetische Gemeinschaft richteten, fanden in den Jahren 2017 und 2018 statt. Der Einfachheit halber nennen wir sie die Kampagnen „2017 hktechy“ und „2018 internetdocss“, nach ihren Command-and-Control-Servern (C2).
  • Die Vorgehensweise der Angreifer entwickelte sich von maßgeschneiderter Schadsoftware, die aus einem benutzerdefinierten Dropper und dem Infostealer-Implantat NetHelp im Jahr 2017 bestand, zu einem benutzerdefinierten Validator und njRAT-Commodity-Schadsoftware im Jahr 2018. Die Internetdocss-Kampagne 2018 nutzte außerdem eine verkleinerte Infrastruktur, um die Auswirkungen von Entdeckungen möglicherweise zu verringern und den Verlust proprietärer Tools und einer kostspieligen Wartung der Infrastruktur zu vermeiden.
  • In beiden Kampagnen wurden Payloads verwendet, die mit mehreren C2-Servern konfiguriert waren. Die Malware beider Kampagnen verwendete jedoch die URL doc.internetdocss[.]com. C2-Domäne, wodurch beide Kampagnen miteinander verknüpft werden.
  • Während der RedAlpha-Kampagnen wurde auch ein bösartiges Microsoft Word-Dokument verwendet, das CVE-2017-0199 ausnutzte. Dieses Sample wurde erstmals während der 57-tägigen Verzögerung bei der Veröffentlichung der CNNVD-Sicherheitslücke in freier Wildbahn beobachtet, die bereits in früheren Untersuchungen von Recorded Future festgestellt wurde. Dies untermauert die Theorie, dass die Verzögerung bei der Veröffentlichung durch CNNVD chinesischen Bedrohungsakteuren die Operationalisierung des Exploits ermöglichen sollte.
  • Interessante Verbindungen zu früheren Aktivitäten umfassen die historische Verwendung von FF-RAT und die gemeinsame Infrastruktur, die von den APTs NetTraveler, Icefog und DeputyDog sowie der MILE TEA-Kampagne verwendet wurde.

Hintergrund

Seit vielen Jahren sind die tibetischen und uigurischen Gemeinschaften das Ziel zahlreicher Bedrohungsakteure mit Exploits, Phishing, Watering-Hole-Angriffen und Malware, die mehrere Plattformen ausnutzt, darunter Windows, MacOS und in jüngster Zeit auch Android. Es überrascht nicht, dass sich unter den Angreifern mehrere chinesische Bedrohungsakteure befinden, darunter die ursprüngliche Winnti-Gruppe, LuckyCat und NetTraveler, aber auch andere wie MiniDuke und Equation Group. Durch die Unterstützung gezielter Communities können Forscher aufkommende bösartige Kampagnen entdecken und gleichzeitig die Opfer schützen. Allerdings hat die wiederholte Entdeckung wenig dazu beigetragen, Angreifer endgültig abzuschrecken.

Die RedAlpha-Kampagnen begannen Mitte 2017 und zielten auf die tibetische Gemeinschaft in Indien ab. Die neueste Kampagne läuft noch; Ende April 2018 wurden neue Subdomains registriert. Der Bedrohungsakteur nutzte eine sorgfältige Kombination aus Opferaufklärung und Fingerabdruckerfassung, gefolgt von selektivem Targeting mit mehrstufiger Schadsoftware. Die eingesetzte Schadsoftware wechselte von einem zuverlässigen benutzerdefinierten Toolset in der Kampagne 2017 zu einem vorsichtigeren und spartanischen Ansatz und endete 2018 mit Standard-Schadsoftware. Die Beobachtung dieser beiden Kampagnen hintereinander verdeutlicht die Entwicklung eines relativ unbekannten Bedrohungsakteurs.

redalpha-cyber-kampagnen-1.png

Aufgezeichnete zukünftige Zeitleiste ausgewählter Aktivitäten aus den RedAlpha-Kampagnen.

Übersicht der RedAlpha-Kampagnen

Die hktechy-Kampagne 2017, benannt nach einem ihrer Command-and-Control-Server (C2), begann im Juni 2017. Dabei kamen zwei Stufen weitgehend maßgeschneiderter Schadsoftware für 32- und 64-Bit-Windows-Systeme zum Einsatz. Die erste Phase war ein einfacher Dropper, der eine Nutzlast herunterladen und ihre Persistenz als Windows-Dienst etablieren sollte. Die nächste Stufe war ein Infostealer, der darauf ausgelegt war, Systeminformationen zu sammeln, Dateien und ganze Verzeichnisse zu komprimieren und sie zu exfiltrieren. Die Schadsoftware verwendete eine duale C2-Infrastruktur, die auf einem IIS-konfigurierten Server basierte und Dateien und Informationen über POST-Anfragen an einen zweiten Server schickte.

Wir haben festgestellt, dass dieselbe E-Mail-Adresse, die zur Registrierung einer C2-Domäne für die hktechy-Kampagne 2017 verwendet wurde, auch zur Registrierung einer anderen Domäne verwendet wurde, die in eine IP aus Hongkong aufgelöst wurde. Diese IP wurde zuvor mit einer Phishing-Kampagne in Verbindung gebracht, die 2016 und 2017 gegen Tibeter durchgeführt wurde und über die Citizen Lab Anfang des Jahres berichtete . Aufgrund dieser Überschneidung in der Infrastruktur konnten wir alle drei Kampagnen demselben Bedrohungsakteur zuordnen. Die historischen Aktivitäten zeigten, dass die Gruppe ein breiteres Zielspektrum abdeckt, darunter auch Regierungsnetzwerke in süd- und südostasiatischen Ländern. Der Bericht hob außerdem hervor, dass die Gruppe westliche Webmail- und Cloud-Service-Anbieter wie Microsoft, Google und Yahoo gefälscht hatte, um Zugriff auf die Netzwerke der Opfer zu erhalten.

Citizen Lab kam zu dem Schluss, dass es sich bei dem Akteur hinter der beobachteten Kampagne möglicherweise um einen „kleinen Auftragnehmer“ handelte, der „schlampig“ vorging und eine kostengünstige Infrastruktur nutzte. Unsere Beobachtungen der hktechy-Kampagne von 2017 zeigen, dass der Angreifer von Anfang an darauf spezialisiert ist, maßgeschneiderte Malware mit redundanter Kommunikation zu verwenden, was auf ein höheres Maß an Raffinesse des Angreifers schließen lässt.

Die Internetdocss-Kampagne 2018 begann im Januar und dauerte mindestens bis Ende April 2018. Die Kampagne offenbarte eine plötzliche Abkehr vom hktechy-Toolkit, indem der benutzerdefinierte Dropper der ersten Stufe durch ein Implantat im Validator-Stil ersetzt wurde, das die Umgebung des Opfers überprüfte und grundlegende Systeminformationen an den C2 übermittelte, bevor weitere Drops versucht wurden. Anschließend setzten die Angreifer auf bestimmten Opfercomputern gezielt eine gängige Schadsoftware namens njRAT ein. Wir haben festgestellt, dass beide Phasen für alle Aspekte der Angriffskampagne, einschließlich Opferaufklärung, Drops und Exfiltration, mit einem einzigen C2-Server kommunizierten.

Der Wechsel von kundenspezifischen Tools zu Standard-Malware stellt einen umfassenderen Wandel bei den gegnerischen TTPs dar, der in der APT-Forschungsgemeinschaft beobachtet wurde. Aufgrund der verstärkten Kontrolle verlassen sich sowohl kriminelle als auch staatlich geförderte Gruppen immer stärker auf handelsübliche Schadsoftware und Tools für Penetrationstests. Diese Umstellung stellt für die Angreifer einen doppelten Mehrwert dar: Zum einen können sie ihre Operationen mit der verstärkten Nutzung gängiger Tools verschmelzen und zum anderen sinken für sie die Kosten für die Umrüstung bei Entdeckung.

Die sorgfältige und selektive Zielausrichtung der Internetdocss-Kampagne von 2018 stützt die Theorie, dass an der laufenden Kampagne ein erfahrenerer Akteur oder eine erfahrenere Organisation beteiligt ist. Unerfahrene Angreifer neigen dazu, die Institutionen ihrer Opfer gezielt anzugreifen, wobei sie dasselbe Opfer oft mehrere Male ins Visier nehmen. Außerdem verzichten sie auf Aufklärungsphasen und führen stattdessen lautstarke Einbruchsoperationen durch. Unsere Untersuchungen zeigen, dass diese Gruppe sehr gezielt angegriffen wird. Zunächst suchten die Angreifer nach einem bestimmten Opfer und leiteten es über ihren C2-Server zu einem legitimen Nachrichtenartikel weiter. So gelang es ihnen, das Betriebssystem des Opfers zu identifizieren. Wo wir diese Drops beobachtet haben, wurde nur einigen derjenigen, die bereit waren zu klicken, ein sorgfältig ausgearbeiteter Köder mit der Bitte um Hilfe für einen tibetischen Gelehrten präsentiert. Bei dem Anhang handelte es sich um ein Exploit-Dokument, das Persistenz herstellte und das Validator-Implantat der ersten Stufe einsetzte.

Als letzten Beweis für die Urteilskraft des Angreifers untersucht das Validierungsimplantat die Umgebung des Opfers auf gängige Antivirenlösungen, untersucht virtuelle Umgebungen und richtet ein wiederkehrendes Beacon ein, das grundlegende Systeminformationen des Opfers überträgt. Diese Schutzmaßnahme war im benutzerdefinierten Toolkit der hktechy-Kampagne nicht vorhanden. Anschließend wählten die Angreifer sorgfältig aus, welchen Opfern die Nutzlast der Standard-Malware njRAT ausgeliefert wird.

Mit den beiden RedAlpha-Kampagnen in Zusammenhang stehende Proben sind nach wie vor recht selten; in beiden Kampagnen wurden weniger als 20 Proben identifiziert. Benutzerdefinierte Beispiele werden in C++ codiert. Der Dropper von 2018 stützte sich auf ein seltenes plattformübergreifendes C++-Framework namens Haxe , um Teile von öffentlich verfügbarem Quellcode zusammenzufügen, der größtenteils in chinesischsprachigen Foren und Blogs zu finden war.

Wir haben eine Vielzahl miteinander verflochtener Infrastrukturen entdeckt, die während der RedAlpha-Kampagnen und möglicherweise auch für ihre älteren Operationen verwendet wurden und die wir in der folgenden Maltego-Tabelle zusammengefasst haben:

redalpha-cyber-campaigns-2-alt.png

Infrastruktur der RedAlpha-Kampagne 2017–2018 (Klicken Sie auf das Bild, um es zu vergrößern).

Technische Analyse: Malware und Tools

Die Hktechy-Kampagne (Mitte 2017)

Wir gehen davon aus, dass die RedAlpha-Kampagnen Mitte 2017 mit der hktechy-Kampagne begannen. Der Infektionsvektor ist derzeit unbekannt, verwendet jedoch maßgeschneiderte mehrstufige Malware – einen einfachen Dropper und eine Payload. Der Dropper hat die Persistenz der Infostealer-Nutzlast als Windows-Dienst eingerichtet. Beide Stufen sind sowohl für 32- als auch für 64-Bit-Windows-Systeme verfügbar. Unten wird auch ein einzelnes Beispiel eines verbesserten eigenständigen 64-Bit-Infostealers (NetHelp Striker) beschrieben.

2017: Audio Droppers

redalpha-cyber-kampagnen-3.png

Der Dropper hat versucht, seine eigene Persistenz als Startdatei einzurichten. Anschließend lud es eine Datei von http://doc.internetdocss[.]com/nethelpx86.dll herunter und speicherte sie unter <C:\Windows\nethelp.dll>. Die Persistenz dieser Payload der nächsten Stufe wurde hergestellt, indem die Datei nethelp.dll als Dienst registriert wurde, der über den Windows Service Host (svchost.exe) ausgeführt werden soll. Verfahren. Nachdem bestätigt war, dass der Dienst ordnungsgemäß ausgeführt wurde, löschte der Dropper die abgelegten Dateien und löschte sich selbst. Andernfalls versuchte es erneut, sich von http://doc.internetdocss[.]com/audiox86.exe herunterzuladen. Dadurch erhalten die Angreifer einen Aktualisierungsmechanismus, mit dem sie unvorhergesehene Komplikationen abmildern können.

Eine x86-64-Variante des Droppers hatte die gleiche Funktionalität, verwies aber stattdessen auf 64-Bit-Drops vom gleichen C2-Server.

2017: Dropper-Varianten

redalpha-cyber-kampagnen-4.png

2017: NetHelp Infostealer

redalpha-cyber-kampagnen-5.png

Die NetHelp-Nutzlast wurde nur für die Verwendung als Dienst entwickelt (eine Persistenzmethode, die vom Audio-Dropper mit passender Bitanzahl eingerichtet wird). Die Nutzlast verknüpft APIs zur Laufzeit dynamisch über GetProcAddress und LoadLibrary.

Das Implantat nutzte gleichzeitig zwei Kommunikationsmethoden: die Erstellung eines separaten Threads mit einem offenen Socket zum <www.hktechy[.]com> Server auf Port 80 und sendet POST-Anfragen an <index.ackques[.]com> C2-Server mit dem spezifischen User-Agent, unten abgebildet:

redalpha-cyber-kampagnen-6.png

POST-Anforderungsvorlage, die zusammen mit dem Dateihandle und der Größe als Parameter übergeben wird.

Der hktechy-Socket wurde verwendet, um Informationen über das Opfersystem zu übertragen, während POST-Anfragen an „index.acques[.]com/index.html“ gesendet wurden. hauptsächlich hochgeladene zlib-komprimierte Dateien vom Opfersystem.

redalpha-cyber-kampagnen-7.png

Teilweise Dekompilierung der Switch-Anweisung für die Dateidiebstahllogik.

Wie der Screenshot oben zeigt, wurde die Logik zum Dateidiebstahl in Form einer umfangreichen Switch-Anweisung in das Implantat integriert. Diese enthielt:

  • Aufzählung von Dateien und Ordnern.
  • Hochladen, Verschieben und Löschen einzelner Dateien.
  • Verwenden Sie WinRAR3e (rar.exe), um ganze Verzeichnisse vor dem Hochladen zu komprimieren.
  • Extrahieren Sie die RAR-Datei mit vollständigen Pfaden.
  • Löschen ganzer Verzeichnisse (entweder zur Bereinigung oder zum selektiven, rudimentären Löschen).
  • Öffnen von Dateien oder Programmen mit bestimmten Parametern.

Der hktechy C2-Mechanismus wird verwendet, um detailliertere Informationen über das Opfersystem hochzuladen, beispielsweise Informationen über logische Datenträger und Dateilisten. Darüber hinaus können die Angreifer Dateien an die infizierte Maschine senden und bei Bedarf weitere Nutzdaten ausführen.

Eine Analyse der Laufzeit-Typidentifikationssymbole in der Binärdatei weist darauf hin, dass einige Funktionen aus dem Open-Source-Programm Gh0st RAT übernommen wurden, darunter Code für die Verwaltung von Client-Sockets, Pipes zu und von der Befehlszeilen-Shell und für den Datei-Upload. Zusätzlicher Quellcode für eine virtuelle Klasse „CUploadManager“ wurde wahrscheinlich aus einem Beitrag im „Chinese Software Developer Network“ übernommen.

2017: NetHelp Infostealer-Varianten

redalpha-cyber-kampagnen-8.png

2017: Infostealer NetHelp Striker

Einen Monat nach den Kompilierungszeitstempeln der ursprünglichen NetHelp-Infostealer kompilierten die Angreifer eine neue Version.

redalpha-cyber-kampagnen-9.png

Aufschlüsselung der Ähnlichkeiten der NetHelp-Varianten.

Ein Vergleich des standardmäßigen 64-Bit-NetHelp-Infostealers mit dem neueren NetHelp Striker-Implantat zeigte nur geringfügige Änderungen; weniger als 10 Prozent der Funktionen stellten völlig neue Funktionalitäten dar. Durch diese Änderungen wurde die Nutzlast eigenständig: Sie konnte ihre eigene Persistenz aufbauen, ohne dass ein anfängliches Dropper-Modul erforderlich war, und war in der Lage, Dokumentensätze zu stehlen, ohne auf Software von Drittanbietern angewiesen zu sein, die auf dem Computer des Opfers möglicherweise nicht verfügbar war.

2017: Infostealer NetHelp Striker

redalpha-cyber-campaigns-10.png

Vor allem ermöglichten die Updates die Installation der Nutzlast „Infostealer Striker“. Es repliziert die Persistenzfunktionalität von word(x32|x86).exe Dropper, der nethelp.dll als einen von svchost.exe ausgeführten Dienst („Windows-Internethilfe“) etablierte. Auf diese Funktionalität kann dann über einen neuen Export namens „Installieren“ zugegriffen werden.

Darüber hinaus ist diese neue Version nicht mehr auf die Verfügbarkeit von WinRar (rar.exe) angewiesen, um ganze Verzeichnisse zu komprimieren. Der Infostealer überwachte nun Änderungen der Dateigröße und schickte aktualisierte Kopien der Dateien an den C2-Server.

Schließlich wurde die Domäne hktechy durch striker.internetdocss[.]com ersetzt. woher diese Variante ihren Namen hat.

Internetdocss-Kampagne (2018–heute)

Die RedAlpha Internetdocss-Kampagne startete im Januar 2018. Ein bestätigter Infektionsvektor ist die Verwendung eines Exploit-Köderdokuments, das über eine Social-Engineering-E-Mail übermittelt wurde und in der um Hilfe für einen tibetischen Gelehrten gebeten wird. Die Kampagne basiert ausschließlich auf einem einzigen C2, minimalistischen Werkzeugen und selektiveren Infektionen. Das Exploit-Dokument installiert ein benutzerdefiniertes Implantat im Validator-Stil, das aus öffentlich verfügbarem Quellcode und einem plattformübergreifenden C++-Framework zusammengesetzt ist. Die Angreifer wählen dann aus, welche infizierten Opfer eine Nutzlast der zweiten Stufe wert sind. Der einzige in dieser Kampagne identifizierte Drop der zweiten Phase bestand aus der Ware RAT.

2018: Infektionsvektor

redalpha-cyber-campaigns-11-alt.png

Das Köderdokument dient dazu, den Microsoft Office Equation Editor4 auszunutzen und so eine eingebettete DLL zu laden. Interessanterweise weist das Köderdokument selbst eine seltene Kombination von Sprachressourcen auf (US-Englisch, Saudi-Arabisch, Chinesisch aus der Volksrepublik China). Obwohl der Köder (siehe Abbildung unten) in unseren virtuellen Maschinen nicht richtig gerendert wurde, konnte dies die Ausführung der Malware nicht verhindern.

redalpha-cyber-campaigns-12.png

Falsch wiedergegebenes Köderdokument.

Nach der Ausführung lädt das Köderdokument eine eingebettete DLL (MD5: e6c0ac26b473d1e0fa9f74fdf1d01af8), die das Validator-Implantat unter dem Namen „winlogon.exe“ im Temp-Verzeichnis des Benutzers ablegt. Die Persistenz wird über einen Registrierungs-Ausführungsschlüssel hergestellt.

redalpha-cyber-campaigns-13.png

Validator-Implantat als „winlogon.exe“.

2018: Validator-Style Beacon

redalpha-cyber-campaigns-14.png

Die Schadsoftware der Internetdocss-Kampagne von 2018 unterscheidet sich von der Schadsoftware, die vom gleichen Bedrohungsakteur in der HKTECHY-Kampagne von 2017 eingesetzt wurde. In der ersten Phase handelt es sich nicht mehr um einen naiven Dropper. Stattdessen haben sich die Angreifer dafür entschieden, ihre Opfer zu validieren, bevor sie weitere Schadsoftware bereitstellen. Das Implantat durchsucht den Computer nach Antimalware-Produkten und erstellt anschließend ein Profil des betroffenen Computers. Die Beaconing-Informationen werden anschließend auf einem C2-Server gesammelt. Die Angreifer können dann gezielt ihre Nutzlast für die nächste Stufe einsetzen.

Die Codierung der Schadsoftware selbst zeichnet sich durch ihre unkomplizierte Cut-and-Splice-Effizienz aus. Es ist für C++ kompiliert und verwendet das plattformübergreifende Framework Haxe . Der größte Teil des Ausführungsflusses ist in einer einzigen Hauptfunktion zusammengefasst. Wie unten gezeigt, scheinen wesentliche Funktionen aus verschiedenen Open-Source-Codeteilen kopiert worden zu sein, die in chinesischen Blogs und Foren zu finden sind.

redalpha-cyber-campaigns-15-alt.png

Betriebssystemversion ermitteln und genaue Vergleichsliste.

redalpha-cyber-campaigns-16-alt.png

WMI prüft auf Sicherheitsprodukte.

Die Implantate senden in regelmäßigen Abständen leicht verschleierte Benutzerinformationen und die Betriebssystemversion an doc.internetdocss[.]com C2-Server.

2018: Kundenspezifische Dropper-Varianten

redalpha-cyber-kampagnen-17.png

njRAT: Nutzlast der zweiten Stufe

Einen einzigen Fall eines Next-Stage-Drops konnten wir feststellen. Trotz seiner Seltenheit stellte sich heraus, dass es sich bei der Nutzlast um eine Standardversion von njRAT (auch bekannt als Bladabindi) handelte. Ursprünglich war diese gängige Schadsoftware vor allem auf den Nahen Osten ausgerichtet, doch wurden Varianten davon beim Einsatz gegen Opfer auf der ganzen Welt beobachtet. Das einzige, was diese Nutzlast vom Standard-njRAT unterscheidet, ist ihre Konfiguration,5 die auf denselben C2-Server und dieselbe Subdomäne verweist wie der Validator der ersten Stufe: doc.internetdocss[.]com. redalpha-cyber-campaigns-18.png

redalpha-cyber-campaigns-19.png

Dekodierte njRAT-Ausgabe.

Ähnlichkeiten mit der von Citizen Lab beschriebenen Malware

Die von Citizen Lab in seinem Bericht beschriebene Schadsoftware weist keine direkte Codeüberschneidung mit den in der hktechy-Kampagne 2017 verwendeten Varianten von NetHelp Infostealer auf. Es weist jedoch einige Ähnlichkeiten im Codierstil mit der Internetdocss-Kampagne von 2018 auf. Wie der Internetdocss-Validator wurde die von Citizen Lab beschriebene Malware in C++ codiert und stützte sich auf ein plattformübergreifendes Framework (in diesem Fall Qt Version 4 statt Haxecpp). Zu den weiteren ähnlichen Merkmalen gehört, dass die von Citizen Lab beschriebene Schadsoftware als Filesheber agiert, mit einem einzelnen C2-Server kommuniziert, um Dateien vom Computer des Opfers zu stehlen, und sich für die Konvertierung in und aus chinesischen Schriftzeichen auf den GBK-Codec verlässt.

Infrastruktur

Die Hktechy-Kampagne (Mitte 2017)

Die hktechy-Kampagne im Jahr 2017 nutzte einen Dropper, der für die Kommunikation mit der C2-Domäne doc.internetdocss[.]com konfiguriert war. Dieser Dropper wurde genutzt, um die Payload des NetHelp Infostealer auszuliefern, der für die Kommunikation mit zwei weiteren C2-Domänen konfiguriert war, www.hktechy[.]com und index.ackques[.]com.

redalpha-cyber-campaigns-20.png

Zusammenfassung der Infrastruktur der hktechy-Kampagne 2017 (Klicken Sie auf das Bild, um es zu vergrößern).

Passive DNS-Auflösungen zeigen, dass doc.internetdocss[.]com erstmals am 28. Juni 2017 in die japanische IP 220.218.70[.]160 aufgelöst, nur wenige Wochen nachdem der ursprüngliche Dropper am 11. Juni kompiliert wurde. Die Domäne wurde bis zum 14. September 2017 weiterhin auf dieselbe japanische IP aufgelöst und danach außer Betrieb genommen, bis sie 2018 für die Kampagne „internetdocss“ erneut auftauchte.

Weitere Domänen, die zwischen dem 28. Juni und dem 14. September 2017 auf 220.218.70[.]160 aufgelöst wurden, sind unten aufgeführt:

redalpha-cyber-campaigns-21.png

Hktechy[.]com wurde erstmals am 19. Juni 2017 beobachtet, als es in eine chinesische IP-Adresse, 198.44.172[.]97, aufgelöst wurde. gehört dem chinesischen VPS-Anbieter VPSQuan LLC. Mithilfe der Emerging Threats-Daten von Proofpoint innerhalb von RiskIQ wurden vier Hashes, die in der folgenden Tabelle aufgeführt sind, mit dieser IP korreliert.6 Mit einer Ausnahme wurden alle Samples zudem von der japanischen IP 220.218.70[.]160 bereitgestellt, auf der im Jahr 2017 doc.internetdocss[.]com gehostet wurde. Während drei der Hashes in diesem Bericht eindeutig der hktechy-Kampagne 2017 zugeordnet werden konnten, konnten wir zum Zeitpunkt der Erstellung dieses Berichts eines der Samples (MD5: 1b67183acc18d7641917f4fe07c1b053) nicht aus gängigen Malware-Multiscanner-Repositories beziehen. Wir vermuten, dass es sich bei diesem Beispiel um eine Variante der Infostealer-Malware von 2017 handeln könnte.

redalpha-cyber-campaigns-22.png

Links zwischen hktechy NetHelp Infostealer-Varianten und 220.218.70[.]160.

Die Internetdocss-Kampagne (2018-laufend)

Wie bereits beschrieben, wurde der Internetdocss-Validator so konfiguriert, dass er mit doc.internetdocss[.]com kommuniziert. für C2.

redalpha-cyber-campaigns-23.png

Zusammenfassung der Infrastruktur der Internetdocss-Kampagne 2018 (Klicken Sie auf das Bild, um es zu vergrößern).

Forward-DNS-Lookups zeigen, dass doc.internetdocss[.]com verweist derzeit auf die singapurische IP 45.77.250[.]80 (Choopa, LLC) und wurde historisch in mindestens zwei andere IPs aufgelöst:

redalpha-cyber-campaigns-24.png

DNS-Auflösungen von doc.internetdocss[.]com.

Wie bereits erwähnt, doc.internetdocss[.]com wurde während der hktechy-Kampagne 2017 auch als C2 konfiguriert, als es in die japanische IP 220.218.70[.]160 aufgelöst wurde. Diese Überschneidung der Infrastruktur verbindet die beiden Kampagnen und erhöht unsere Wahrscheinlichkeit, dass wir beide demselben Bedrohungsakteur zuschreiben.

Singapur IP 45.77.250[.]80

Untersuchung der 45.77.250[.]80 IP enthüllte mehrere verwandte Subdomains von internetdocss[.]com:

redalpha-cyber-campaigns-25.png

Andere Domänen werden zu SG IP 45.77.250[.]80 aufgelöst.

Wir können sehen, dass viele der in der Tabelle oben aufgelisteten Domänen Begriffe enthalten, die sich auf die „Fünf Gifte“ Chinas beziehen und auf in China zensierte Themen verweisen, wie etwa die tibetische Unabhängigkeitsbewegung, Anhänger von Falun Gong oder die Demokratiebewegung. Auch das bekannte indische Medienunternehmen NDTV wird parodiert, vermutlich um die im indischen Exil lebende tibetische Gemeinschaft noch stärker ins Visier zu nehmen.

Aufgrund der Art dieser Domänenregistrierungen ist es wahrscheinlich, dass die Kampagne umfassender angelegt war und weitere traditionelle, ideologische und regionale geopolitische Ziele für China umfasste.

Japan IP 220.218.70[.]160

Wie bereits kurz erwähnt, japanisches IP 220.218.70[.]160 gehostet doc.internetdocss[.]com zwischen 28. Juni 2017 und 14. September 2017.

Darüber hinaus u2xu2[.]com ebenfalls aufgelöst zu 220.218.70[.]160 zwischen dem 20. August 2017 und dem 8. April 2018. Der vollständige Auflösungsverlauf von u2xu2[.]com ist unten aufgeführt:

redalpha-cyber-campaigns-26.png

DNS-Auflösungsverlauf von u2xu2[.]com.

Bei der weiteren Untersuchung von 220.218.70[.]160, Wir sind auf die Datei „Microsoft_Word_97_-_2003___1.doc“ gestoßen. (MD5: 1929db297c9d7d88a6427b8603a7145b) in VirusTotal mit Verweis auf 220.218.70[.]160 innerhalb des Dokumenttexts.

Eine vorläufige Analyse dieser Datei lässt darauf schließen, dass sie von einem gewissen „AdminFuke“ verfasst wurde und die Zeichenkodierung auf „Vereinfachtes Chinesisch GBK“ eingestellt war. Nach dem Öffnen versucht dieses Word-Dokument, eine ausführbare HTML-Datei (HTA) vom selben C2 (hXXp://220.218.70[.]160/sec.hta) herunterzuladen.

Dieses mit einem Trojaner infizierte Microsoft Word-Dokument nutzt CVE-2017-0199 aus und wurde erstmals am 8. Mai 2017 in Multiscanner-Repositories hochgeladen. Damit liegt es genau innerhalb der 57-tägigen Veröffentlichungsfrist des CNNVD für die Offenlegung der Sicherheitslücke CVE-2017-0199, die erstmals von Recorded Future in einer im November 2017 veröffentlichten Studie offengelegt wurde.

NetHelp Striker Infostealer und gemeinsam genutzte SSL-Zertifikate

Zu Beginn dieses Berichts haben wir das NetHelp Striker-Implantat besprochen, das neben anderen Modifikationen dazu führte, dass eine neue C2-Domäne in die Malware eingebettet wurde – striker.internetdocss[.]com. Die jüngste DNS-Auflösungshistorie dieser Domain unterscheidet sich von der breiteren Infrastruktur, die vom Bedrohungsakteur verwendet wird, der für die RedAlpha-Kampagnen verantwortlich ist. Sie wurde nie in die übliche 45.77.250[.]80 aufgelöst. Choopa LLC VPS wie jede andere Subdomain von internetdocss[.]com.

Striker.internetdocss[.]com wird derzeit in eine US-IP-Adresse von WebNX aufgelöst: 142.4.62[.]249. Zuvor wurde striker.internetdocss.com zur HK-IP 27.126.179[.]157 aufgelöst. (Forewin Telecom Group Limited). Es ist wichtig zu beachten, dass sich diese IP im selben unmittelbaren Netzblock befindet wie die IP, die zuvor u2xu2[.]com gehostet hat. (27.126.179[.]158). Darüber hinaus wurde das exakt gleiche SSL-Zertifikat (SHA1: c8e61a4282589c93774be2cddc109599316087b7) auf allen bei Forewin Telecom registrierten IPs im Bereich 27.126.179[.]156 beobachtet. — 27.126.179[.]160.

Bei einer genaueren Untersuchung der diesem kleinen Netzblock zugewiesenen historischen SSL-Zertifikate stellten wir fest, dass vier der fünf Telecom-IPs von Forewin in der Vergangenheit auch das SSL-Zertifikat SHA1: dd3f4da890fa00b0b6032d1141f54490c093c297 gemeinsam genutzt hatten. Dieses Zertifikat war am 27.126.179[.]159 aktiv Forewin IP, als es tk.u2xu2[.]com hatte darauf zeigen. Dadurch konnten wir http.ackques[.]com identifizieren, ein Geschwister des NetHelp-Infostealers C2 Domain index.ackques[.]com aus dem Jahr 2017, mit der gleichen IP-Adresse 27.126.179[.]159, und bekräftigt damit, dass 27.126.179[.]156 – 27.126.179[.]160 ist ein Netblock, der wahrscheinlich von denselben Bedrohungsakteuren verwaltet wird, die hinter den RedAlpha-Kampagnen stehen. Gemeinsame SSL-Zertifikate und Schwesterdomänen innerhalb desselben kleinen Netzblocks sind starke Indikatoren dafür, dass dieser kleine Netzblock von derselben Gruppe verwaltet wurde.

Hongkong IP 122.10.84[.]146

Wie bereits erwähnt, doc.internetdocss[.]com zwischen dem 8. Februar 2018 und dem 27. März 2018 auf diese IP in Hongkong aufgelöst. Seit dem 23. März 2018 ist die Domain sp.u2xu2[.]com beschließt es.

Wir gehen davon aus, dass sp.u2xu2[.]com und doc.internetdocss[.]com werden wahrscheinlich vom gleichen Bedrohungsakteur verwaltet, da beide in der Vergangenheit auf 122.10.84[.]146 verwiesen haben und die übergeordnete Domäne, u2xu2[.], aufgelöst auf die gleiche japanische IP 220.218.70[.]160 wie doc.internetdocss[.]com wurde auch schon vorher gelöst. Es liegen keine Hinweise darauf vor, dass die Domäne oder die zugehörige IP-Infrastruktur im untersuchten Zeitraum neu zugewiesen oder von einer anderen Stelle übernommen wurde.

Eine retrospektive Analyse in Malware-Multiscanner-Repositories identifizierte mehrere Dateien, die mit dem 122.10.84[.]146 in Zusammenhang stehen. IP-Adresse:

  • MD5: c94a39d58450b81087b4f1f5fd304add. Dies ist eine Variante des benutzerdefinierten Droppers der ersten Stufe, der in der Internetdocss-Kampagne RedAlpha 2018 verwendet wurde.
  • MD5: 3a2b1a98c0a31ed32759f48df34b4bc8 („qww.exe“). Dies ist ein alternativer Validierer der ersten Stufe, der eine Nutzlast der zweiten Stufe enthält, die njRAT ablegt.
  • Wahrscheinlich im Zusammenhang mit „qww.exe“ Validierer. Wir entdeckten eine Version von njRAT (auch bekannt als Bladibindi), die auf demselben Server gehostet wird: 122.10.84[.]146 Hongkong IP (Dateiname serverdo7468.exe, MD5: c74608c70a59371cbf016316bebfab06).

Zielen

Die Tibeter sind nicht die einzigen Ziele

Der Domain-Registrant für RedAlphas Kampagne C2 2017, hktechy[.]com, war steven-jain@outlook[.]com. Ein Blick auf diese E-Mail-Adresse zeigt, dass sie auch für die Registrierung einer ähnlichen Domain verwendet wurde: angstechy[.]com. am 20. Juni 2017. Angtechy[.]com wird weiterhin zur Hongkonger IP 115.126.39[.]107 aufgelöst, die seit Mitte 2015 über 60 Domänen gehostet hat. Viele dieser Domänen täuschten bestimmte Organisationen vor, wie etwa das Büro Seiner Heiligkeit des Dalai Lama (webmail-dalailama[.]com), das sri-lankische Verteidigungsministerium (mail-defense[.]tk), und eine chinesische Online-Autoauktionsseite (mail-youxinpai[.]com) wie in der Tabelle unten gezeigt. Andere Domänen, die auf 115.126.39[.]107 gehostet werden enthielten Parodien allgemeiner Webmail- und Cloud-Dienste von Google, Yahoo und Microsoft.

redalpha-cyber-campaigns-27-alt.png

Auswahl gefälschter Domänen, die auf 115.126.39[.]107 gehostet werden.

115.126.39[.]107 und viele der gefälschten Domänen wurden in einer im Januar 2018 von Citizen Lab durchgeführten Untersuchung gemeldet, in der eine groß angelegte Phishing-Kampagne beschrieben wurde, die auf die tibetische Gemeinschaft und Regierungsbehörden in Süd- und Südostasien abzielte. Die infrastrukturelle Überschneidung zwischen den von Citizen Lab gemeldeten Kampagnen und der hktechy-Kampagne liefert starke Hinweise darauf, dass derselbe Bedrohungsakteur bereits ab 2015 für die gezielten Angriffe auf die tibetische Gemeinschaft und andere Opfer verantwortlich sein könnte.

Zielt man auf Indianer?

Metadatenanalyse der untersuchten Hongkong-IP 122.10.84[.]146 ergab, dass zwischen dem 2. und 23. April wiederholt SSL-Verbindungen mit zwei IPs in Indien (103.245.22[.]117) hergestellt wurden. 103.245.22[.]124), die zu MahaOnline-Diensten aufgelöst werden. MahaOnline ist ein E-Portal der Regierung von Maharashtra, einem Bundesstaat im Westen Indiens, dessen Hauptstadt Mumbai ist. Das E-Portal ermöglicht Bürgern den Zugang zu öffentlichen Diensten und hostet Domänen wie swayam.mahaonline.gov[.]in (eine Website zum Stammesentwicklungsprogramm) und molpg.mahaonline.gov[.]in (ein Online-Zahlungsportal).

Obwohl wir keine böswillige Kommunikation zwischen der Hongkong-IP 122.10.84[.]146 und den Mahaonline-IPs direkt beobachtet haben, könnte die Anzahl der Verbindungen von den Mahaonline-IPs zum Port 443 auf dem Hongkong-C2 darauf hinweisen, dass das E-Portal erfolgreich angegriffen wurde. Darüber hinaus werden auf dem Hongkonger C2 keine legitimen Dienste gehostet, die diese Verbindungen erklären könnten.

Bedrohungsakteur

Wie bereits erwähnt, war auf der Hongkonger IP-Adresse 27.126.179[.]159 ein gemeinsam genutztes SSL-Zertifikat vorhanden. als es tk.u2xu2[.]com hostete. Bei der Untersuchung historischer DNS-Auflösungen fanden wir tk.u2xu2[.]com zwischen Juni 2016 und November 2016 zu Hong Kong IP 103.20.193[.]156 aufgelöst. Diese IP wurde auf die Shenzhen Katherine Heng Technology Information Company Ltd. registriert. Im selben Zeitraum stellten wir fest, dass der bösartige MD5: 83ffd697edd0089204779f5bfb031023 mit tk.u2xu2[.]com kommunizierte.

Die Anreicherung von ReversingLabs in Recorded Future bestätigte, dass 83ffd697edd0089204779f5bfb031023 erstmals im Juni 2016 in freier Wildbahn beobachtet wurde. Es wurde ihm ein Risikorating von „65“ zugewiesen und er wurde der Tiniwen-Malware-Familie zugeordnet. Tiniwen ist besser bekannt unter dem Namen FF-RAT, das es seit mindestens 2012 gibt. In öffentlichen Berichten wird FF-RAT ausschließlich mit chinesischen APT-Aktivitäten in Verbindung gebracht. Im Jahr 2015 hob das FBI FF-RAT als „eines der effektiveren Tools“ hervor, das beim erfolgreichen Angriff auf das US-Personalmanagementbüro (Office of Personnel Management, OPM) zum Einsatz kam. Der Angriff wurde vermutlich von einer chinesischen APT durchgeführt.

Darüber hinaus dokumentierte Cylance in seinem Forschungspapier vom Juni 2017 eine Instanz von FF-RAT, die für die Kommunikation mit C2 tk.u2xu2[.]com konfiguriert war. Auf Grundlage der hier gezogenen Assoziationen gehen wir davon aus, dass FF-RAT wahrscheinlich von denselben Bedrohungsakteuren verwendet wurde, die auch hinter RedAlpha stehen, und zwar möglicherweise bereits im Jahr 2016.

Und schließlich laut WHOIS-Daten: 13316874955@163[.]com wurde zur Registrierung des Hongkonger IP 103.20.193[.]156 verwendet. Für diese E-Mail-Adresse sind mindestens 125 weitere IP-Adressen registriert, alle bei der Shenzhen Katherine Heng Technology Information Company Ltd., wobei mehrere der IPs mit Links7 zu chinesischen APT-Gruppen wie NetTraveler, Icefog und DeputyDog gekennzeichnet sind:

  • 103.30.7[.]76; NetTraveler; Kaspersky
  • 103.30.7[.]77; NetTraveler; Kaspersky
  • 103.20.192[.]59; NetTraveler; Kaspersky
  • 103.20.195[.]140; Icefog; Kaspersky
  • 103.20.192[.]4; Stellvertretender Hund; FireEye
  • 103.20.192[.]248; MILE TEA-Kampagne; Palo Alto Networks

Hinweis auf mögliche Beteiligung der PLA

Eine der Domänen, cqyrxy[.]com, die historisch zu 115.126.39[.]107 aufgelöst wurde, war mit dem Kontaktnamen „ren minjie“ registriert. Interessanterweise ist „Ren Minjie“ die englische Transliteration von 人民 (Renmin) und 解 (Jie), wobei 解 (Jie) wahrscheinlich die Abkürzung von 解放军 (Jiefangjun) ist. Jiefangjun wird mit „Die chinesische Volksbefreiungsarmee“ (PLA) übersetzt und daher ist „Ren Minjie“ wahrscheinlich eine transliterierte Abkürzung für die PLA. Es ist unklar, ob es sich hierbei um eine absichtlich platzierte falsche Flagge in den Registrierungsdetails für die Domäne handelt oder ob es sich lediglich um das Ergebnis eines schlampigen Verhaltens des Bedrohungsakteurs handelt, der die mögliche Identität der Täterorganisation enthüllt.

Wir haben auch Verbindungen zu einem chinesischen Informationssicherheitsunternehmen namens Nanjing Qinglan Information Technology Co., Ltd (南京青苜信息技术有限公司) aufgedeckt.

Die bösartigen Domänen drive-mail-google[.]com und drive-accounts-gooogle[.]com wurden im begleitenden IOC-Deck aufgeführt, das Citizen Lab mit seinem Bericht vom Januar 2018 veröffentlichte. Beide Domänen wurden mit der QQ-E-Mail 6060841@qq[.]com registriert. Wir haben festgestellt, dass diese E-Mail-Adresse als Kontakt für eine Stellenanzeige auf der chinesischen Jobbörse www.52pojie[.]cn aufgeführt war. für einen „Informationssicherheitsingenieur“ für „Nanjing Qinglan Information Technology Co., Ltd.“ Der zugehörige Name für das QQ-Konto wurde als „Mr. „Liang.“

Laut einem offiziellen Dokument auf der Website der Provinzregierung von Nanjing ist Nanjing Qinglan Information Technology Co., Ltd. ein in Nanjing ansässiges Unternehmen, das „... Sicherheitsbewertungen, Sicherheitsverstärkung, Penetrationstests, Sicherheitsberatung, Angriffs- und Verteidigungsübungen sowie Sicherheitstraining“ anbietet. Das Unternehmen verfügt über eine anständige Webpräsenz (hXXp://www.cimer.com[.]cn). Dies deutet darauf hin, dass es sich um eine etablierte Einheit handelt. Interessant ist jedoch die Verbindung zwischen zwei bösartigen Domänen, die bei den Angriffen auf die tibetische Gemeinschaft verwendet wurden, und einem IT-Sicherheitsunternehmen, das offensive „Übungen“ durchführt.

redalpha-cyber-campaigns-28.png

Stellenanzeige auf hXXps://www.52pojie[.]cn/thread-93849-1-1.html mit dem Hinweis 6060841@qq[.]com (Klicken Sie auf das Bild, um es zu vergrößern.)

Ausblick

Unsere Recherchen deckten zwei neue Kampagnen einer chinesischen APT gegen die tibetische Gemeinschaft in den Jahren 2017 und 2018 auf.

Wir verfügen derzeit nicht über genügend Beweise, um kategorisch zu beweisen, dass die RedAlpha-Kampagnen von einem neuen Bedrohungsakteur durchgeführt wurden. Abgesehen von den hervorragenden Berichten des Citizen Lab gibt es nur wenig öffentliches Material, das die in unserer Untersuchung beschriebenen Schadsoftware und TTPs mit einem bestehenden Bedrohungsakteur in Verbindung bringt. Wir haben einige vorläufige Verbindungen von Infrastrukturregistrierungen zu bestehenden chinesischen APTs aufgezeigt, für eine sichere Zuordnung sind jedoch weitere Einzelheiten zu den Personen und Organisationen erforderlich, die hinter den bösartigen Aktivitäten stehen.

Der Einsatz bislang nicht offengelegter maßgeschneiderter Schadsoftware in der hktechy-Kampagne und die nachweisbare Weiterentwicklung ihrer Methoden in der internetdocss-Kampagne deuten darauf hin, dass der Bedrohungsakteur über ein ausgeklügeltes Programm zur Entwicklung von Fähigkeiten für Schadsoftware und Tools verfügt – etwas, das höchstwahrscheinlich von einem finanziell gut ausgestatteten Nationalstaat gesponsert wird. Wir konnten außerdem beobachten, wie die Gruppe neue Schwachstellen (CVE-2017-0199) taktisch ausnutzte, und zwar in einem Zeitraum, in dem die chinesische nationale Datenbank für Schwachstellen (CNNVD) die Veröffentlichung dieser Schwachstelle für die Öffentlichkeit bewusst verzögert hatte. Im vergangenen Jahr haben wir ausführlich über den Einfluss des chinesischen Ministeriums für Staatssicherheit (MSS) auf den CNNVD berichtet. Darin wird darauf hingewiesen, dass das Verschweigen von Schwachstellen mit hohem Risiko der Öffentlichkeit dient, um möglicherweise offensive Cyber-Spionage-Operationen zu ermöglichen.

Die Aufdeckung des möglichen OPSEC-Versagens der Täter hinter den RedAlpha-Kampagnen, bei denen sie eine Domain mit der Abkürzung der „Volksbefreiungsarmee“ registrierten, war eine faszinierende Entwicklung. Dies sowie die Infrastrukturüberschneidung mit den chinesischen APT-Gruppen Icefog, NetTraveler, DeputyDog und denen hinter der MILE TEA-Kampagne, sowie die Verbindungen zum Nanjing Qinglan Information Technology-Unternehmen deuten auf einen chinesischen Ursprung der Bedrohungsakteure hinter der RedAlpha-Aktivität hin. Ein weiterer Beleg dafür ist der wahrscheinliche Einsatz von FF-RAT, das Berichten zufolge fast ausschließlich von hochentwickelten chinesischen Bedrohungsakteuren eingesetzt wird.

Die selektiven Angriffe auf Organisationen sollten für alle Regierungen und zivilgesellschaftlichen Gruppen in der Region Anlass zur Sorge sein. Wir stellten fest, dass die Aktivitäten der Gruppe nicht die ersten gezielten Angriffe gegen die „Fünf Gifte“ waren und zweifellos auch nicht die letzten sein werden, insbesondere im Hinblick auf Bürgerinitiativen, Nichtregierungsorganisationen und Wohltätigkeitsorganisationen. Da viele dieser Organisationen nicht ausreichend in die Netzwerkverteidigung investieren, verringert sich zwangsläufig ihre Fähigkeit, sich gegen Angriffe von gut ausgestatteten und motivierten Bedrohungsakteuren zu verteidigen.

Die umfassende Überwachung und Zensur der tibetischen Gemeinschaft und der anderen „Fünf Gifte“ ist für den chinesischen Staat weiterhin von entscheidender Bedeutung. Jede wahrgenommene Bedrohung der anhaltenden Herrschaft der Kommunistischen Partei Chinas (KPCh) wird als Angelegenheit der nationalen Sicherheit behandelt. Daher ist es nicht überraschend, dass Cyber-Spionage-Operationen aufgedeckt werden, die auf solche zivilen Organisationen abzielen. Darüber hinaus deuten die damit verbundenen Angriffe auf die Regierungen benachbarter Länder im Süden und Südosten darauf hin, dass der Bedrohungsakteur an einer Ausweitung der CPC-Anforderungen arbeiten könnte, die sich je nach geopolitischen Ereignissen weiterentwickeln könnten. Die Verwendung bislang unbekannter Schadsoftware und Infrastruktur durch diesen Bedrohungsakteur sowie die spärliche öffentliche und private Berichterstattung über die in unserer Untersuchung beschriebenen TTPs lassen uns annehmen, dass wir einen kaum bekannten Bedrohungsakteur aufgedeckt haben, der wahrscheinlich dem chinesischen Staat zuzuschreiben ist.

Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.

1Insikt Group möchte sich bei VirusTotal und Kaspersky GReAT für die enge Zusammenarbeit bedanken, die diese Forschung unterstützt haben.

2Bei den „Fünf Giften“ handelt es sich nach Ansicht der Kommunistischen Partei Chinas um Bedrohungen für ihre Stabilität. Dazu zählen die Uiguren, die Tibeter, Falun Gong, die chinesische Demokratiebewegung und die taiwanesische Unabhängigkeitsbewegung.

3WinRAR ist nicht im Hauptteil des Implantats selbst enthalten. Die Entwickler können davon ausgehen, dass diese allgemeine Software auf dem Opfersystem installiert ist, oder sie auf alternative Weise auf dem Opfersystem installieren.

4Der VirusTotal-Multiscanner kennzeichnet diese Exploits als CVE-2017-11882 und CVE-2018-0802. Die genaue ausgenutzte Schwachstelle ist noch nicht bekannt.

5Mit dem njRAT-Decoder von Kevin Breen dekodiert.

6http://blog.passivetotal.org/hashes-or-it-didnt-happen/ und https://www.proofpoint.com/us/resources/data-sheets/emerging-threats-intelligence/

7Verwenden der Indikator-OSINT-Anreicherungen von RiskIQ.

Verwandt