Neue APT32-Malware-Kampagne zielt auf kambodschanische Regierung ab

Die Insikt Group von Recorded Future hat eine neue Malware-Kampagne entdeckt, die sich mit einem Spearphishing-Angriff auf die kambodschanische Regierung richtet und sich dabei an die Association of Southeast Asian Nations (ASEAN) richtet. Mithilfe der Erkennung von Recorded Future RAT-Controllern und der Netzwerkverkehrsanalyse hat die Insikt Group eine neue Betriebsinfrastruktur identifiziert, die wir der vom vietnamesischen Staat gesponserten Bedrohungsaktivitätsgruppe APT32, auch bekannt als OceanLotus, zuschreiben. Diese Einschätzung wird auch durch die Identifizierung mehrerer kambodschanischer Opferorganisationen gestützt, die mit dieser Infrastruktur kommunizieren, und steht im Einklang mit früheren Kampagnen, die sich gegen diese Organisationen richteten.

Geschichte

Vietnam und Kambodscha verbindet eine lange Konfliktgeschichte, die bis zum Vietnam-Chinesischen Krieg in den 1970er Jahren zurückreicht, als Vietnam mit Vergeltungsangriffen auf Chinas „kleinen Bruder“ Kambodscha begann. Im Jahr 2017 begann Vietnam mit der Stärkung seiner Cyberkriegskapazitäten durch die Gründung von APT32, das während des Jahresgipfels 2017 die Website der ASEAN angriff und außerdem Websites von Ministerien und Regierungsbehörden in Kambodscha, der Demokratischen Volksrepublik Laos und den Philippinen angriff. In den letzten Jahren haben sich die Beziehungen zwischen Vietnam und Kambodscha teilweise aufgrund der Belt and Road Initiatives (BRI) Chinas in der Region verschlechtert . Im Zuge der Annäherung des kambodschanischen Premierministers Hun Sen an den chinesischen Präsidenten Xi Jinping stärkten die beiden ihre Partnerschaften zwischen den beiden Ländern und drängten Vietnam aus wichtigen regionalen Kooperationen. Zu den chinesischen Investitionen in Kambodscha zählen wichtige Infrastruktur, gemeinsame Militärübungen im Südchinesischen Meer und ein neues Immobilienprojekt nördlich des Marinestützpunkts Ream, der strategisch günstig am Golf von Thailand zwischen Vietnam und Kambodscha liegt.

Neue APT32-Infrastruktur

Im Juni 2020 berichtete die Insikt Group über eine neue operative APT32-Infrastruktur, die durch eine proprietäre Methode zur Verfolgung von mit APT32 verbundenen Malware-Aktivitäten wie METALJACK und DenisRAT identifiziert wurde. Mit derselben Methodik hat die Insikt Group weiterhin neue, aktive APT32-IP-Adressen und zugehörige Domänen identifiziert. Die Forscher von Insikt entdeckten mehrere Samples, die Teil dieser Kampagne sind: Sample 1: Das erste Sample wird über ein bösartiges Dokument mit dem Titel „ „បញ្ជីរាយនាមអនុព័ន្ សហប្រតិបត្តិការយោធ[.]exe“, was übersetzt „Liste der ausländischen Militäreinheiten und des Büros für militärische Zusammenarbeit in Kambodscha.docx“ bedeutet.[.]exe“. Dieses wahrscheinlich durch Spearphishing übertragene Beispiel ist ein selbstextrahierendes Archiv (SFX), das vier Dateien enthält:

1. Eine legitime, von Apple signierte ausführbare Datei (SoftwareUpdate.exe).
2. Eine zugehörige, harmlose Dynamic Link Library (DLL)-Datei (SoftwareUpdateFiles.dll).
3. Eine bösartige DLL (SoftwareUpdateFilesLocalized.dll).
4. Eine Datei namens „SoftwareUpdateFiles.locale“, die verschlüsselten Shellcode enthält.

Beim Ausführen des SFX lädt die ausführbare Apple-Datei die harmlose DLL, bevor sie die bösartige DLL lädt, die im Dateipfad SoftwareUpdateFiles.Resources/en.lproj gespeichert ist. Anschließend extrahiert die bösartige DLL den verschlüsselten Shellcode aus der Datei „SoftwareUpdateFile.locale“, entschlüsselt ihn und führt ihn aus. Dabei wird dem Benutzer ein Täuschungsdokument angezeigt (ein Microsoft Word-Dokument mit der Anzeige eines „Aktivierungsfehlers“), und schließlich wird die endgültige Nutzlast geladen.

Dieser Ladevorgang stimmt mit der APT32-Aktivität überein, die zuvor von der Insikt Group und Ahnlab in Bezug auf eine APT32-Probe mit Bezug auf den ASEAN-Gipfel 2020 gemeldet wurde. Innerhalb der Insikt Group werden weitere Analysen dieser Artefakte zur Identifizierung der Malware-Familie durchgeführt. Sobald weitere Beispiele analysiert sind, werden Updates veröffentlicht.

Beispiel 2: Ein zweites Beispiel, das am 22. Oktober 2020 in ein Malware-Repository hochgeladen wurde, verwendet denselben Ladevorgang und kommuniziert mit einer der identifizierten C2-Domänen, cloud.bussinesappinstant[.]com.

In diesem Beispiel heißt die SFX-Datei „9_Programme_SOMCA-Japan_FINAL.docx~.exe“, wahrscheinlich in Bezug auf das ASEAN Senior Officials Meeting for Culture and Arts (SOMCA), was darauf hindeutet, dass APT32 weiterhin Interesse daran hat, ASEAN und andere Mitgliedsstaaten ins Visier zu nehmen.

Das in dieser Kampagne verwendete Lockdokument zeigt eine leere Tagesordnung für das „Siebte Treffen hochrangiger Vertreter von ASEAN Plus Japan für Kultur und Kunst“. (Quelle: Aufgezeichnete Zukunft)

Diese Archivdatei enthält die gleiche Datei „SoftwareUpdateFilesLocalized.dll“ Datei, die im vorherigen Beispiel gesehen wurde. Zusätzlich zu den Überschneidungen bei TTP (Taktiken, Techniken, Verfahren) und Infrastruktur weisen die mit diesem neuesten Sample verknüpften bösartigen DLLs einen identischen Rich Header und Import-Hash auf, der in früheren APT32-Samples zu finden ist.

Weitere Hinweise darauf, dass Kambodscha ins Visier genommen wurde, hat die Insikt Group durch mehrere IP-Adressen gefunden, die einer kambodschanischen Regierungsorganisation zugewiesen sind, die regelmäßig mit der APT32-C2-IP-Adresse 43.254.132[.]212 kommuniziert.