China-Nexus TAG-112 kompromittiert tibetische Websites zur Verbreitung von Cobalt Strike

Zusammenfassung

Im Rahmen einer kürzlich durchgeführten Cyberkampagne hat die vom chinesischen Staat gesponserte Bedrohungsgruppe TAG-112 zwei tibetische Websites – „Tibet Post“ und „Gyudmed Tantric University“ – kompromittiert, um die Schadsoftware „Cobalt Strike“ zu verbreiten. Die Insikt Group von Recorded Future entdeckte, dass die Angreifer bösartiges JavaScript in diese Websites einbetteten, das einen TLS-Zertifikatsfehler vortäuschte, um Besucher zum Herunterladen eines getarnten Sicherheitszertifikats zu verleiten. Diese Malware, die häufig von Bedrohungsakteuren für den Fernzugriff und die nachträgliche Ausbeutung verwendet wird, zeigt, dass sich die Cyberspionage weiterhin auf tibetische Einrichtungen konzentriert. Die mithilfe von Cloudflare verborgene Infrastruktur von TAG-112 verbindet diese Kampagne mit anderen von China gesponserten Operationen, insbesondere TAG-102 (Evasive Panda).

---

TAG-112 mit Sitz in China kompromittiert tibetische Websites, um Cobalt Strike zu verbreiten

Cyberangriffe gegen ethnische und religiöse Minderheiten in China dauern an, und neue Entwicklungen deuten auf eine gezielte Kampagne gegen tibetische Organisationen hin. In einer kürzlich durchgeführten Untersuchung entdeckte die Insikt Group von Recorded Future eine vom chinesischen Staat geförderte Gruppe von Bedrohungsakteuren mit der Bezeichnung TAG-112, die für die Kompromittierung tibetischer Community-Websites und die Bereitstellung von Cobalt Strike, einem starken Cyberspionage-Tool, verantwortlich ist.

Wichtige Erkenntnisse

Ende Mai 2024 kompromittierte TAG-112 mindestens zwei Websites der tibetischen Community: Tibet Post (tibetpost[.]net) und Gyudmed Tantric University (gyudmedtantricuniversity[.]org). Die Angreifer nutzten Schwachstellen im Joomla Content Management System (CMS) aus, das von diesen Websites verwendet wird, um bösartiges JavaScript einzuschleusen. Dieses JavaScript forderte die Besucher auf, ein gefälschtes Sicherheitszertifikat herunterzuladen, das, wenn es geöffnet wurde, die Cobalt Strike-Nutzlast auslöste.

Die Infrastruktur von TAG-112 weist deutliche Überschneidungen mit TAG-102 (Evasive Panda) auf, einer anspruchsvolleren, vom chinesischen Staat geförderten Gruppe, die dafür bekannt ist, tibetische Organisationen ins Visier zu nehmen. Die Insikt Group hat TAG-112 jedoch aufgrund von Unterschieden in der Angriffsreife und den Angriffstaktiken als eigenständige Einheit identifiziert, z. B. durch die Verwendung von Cobalt Strike anstelle von maßgeschneiderter Schadsoftware und den Verzicht auf JavaScript-Verschleierung.

Bösartiges JavaScript und gefälschter TLS-Fehler

Der Angriff beginnt mit dem bösartigen JavaScript, das in die kompromittierten Websites eingebettet ist. Wenn ein Benutzer eine dieser Websites besucht, erkennt das Skript das Betriebssystem und den Browsertyp und bestätigt so die Kompatibilität mit Windows. Wenn es kompatibel ist, initiiert das Skript eine Verbindung mit der Command-and-Control-Domain (C2) von TAG-112, update[.]maskrisks[.]com. Diese gibt dann eine HTML-Seite zurück, die einen legitimen TLS-Zertifikatsfehler fälscht.

Diese gefälschte Fehlerseite ist so gestaltet, dass sie die TLS-Zertifikatswarnung von Google Chrome imitiert und Benutzer dazu verleitet, auf einen Link zum „Herunterladen eines Sicherheitszertifikats“ zu klicken. Beim Klicken initiieren Benutzer unwissentlich den Download von Cobalt Strike, einem legitimen Tool, das häufig für Sicherheitstests verwendet wird, aber oft von Angreifern für den Fernzugriff und die Befehlsausführung ausgenutzt wird.

Ausnutzen von Website-Schwachstellen

TAG-112 verschaffte sich wahrscheinlich über Schwachstellen in Joomla, einem beliebten CMS, Zugriff auf die kompromittierten tibetischen Websites. Websites, die mit Joomla erstellt wurden, sind häufig das Ziel von Angreifern, wenn sie nicht angemessen gewartet und aktualisiert werden. Wahrscheinlich konnte TAG-112 durch Ausnutzen dieser Schwächen die bösartige JavaScript-Datei hochladen, die seit Anfang Oktober 2024 auf diesen Websites aktiv ist.

Infrastruktur und Verschleierungstaktiken

Die Infrastruktur von TAG-112 zeigt ein gewisses Maß an Raffinesse bei der Verschleierung ihrer Ursprünge. Die Gruppe nutzte Cloudflare, um die IP-Adressen ihrer Server abzuschirmen, was die Rückverfolgung der Infrastruktur zu ihrem Ursprung erschwert. Die Insikt Group hat mehrere IP-Adressen identifiziert, die mit den C2-Servern von TAG-112 verknüpft sind, von denen einige bereits im März 2024 aktiv waren. Die primäre Domain maskrisks[.]com wurde im März 2024 über Namecheap registriert, mit Subdomains wie mail[.]maskrisks[.]com und checkupdate[.]maskrisks[.]com, die für zusätzliche betriebliche Flexibilität hinzugefügt wurden.

Wie Cobalt Strike von TAG-112 eingesetzt wird

Cobalt Strike ist ein kommerzielles Penetrationstest-Tool, das sich aufgrund seiner Vielseitigkeit und leistungsstarken Funktionen für Fernzugriff, laterale Bewegung sowie Befehls- und Kontrollfunktionen bei Bedrohungsakteuren großer Beliebtheit erfreut. Die Insikt Group hat sechs verschiedene Cobalt Strike Beacon-Proben identifiziert, die mit TAG-112 in Verbindung stehen, wobei ihre C2-Kommunikation an mail[.]maskrisks[.]com gerichtet war. Diese Malware ermöglicht es TAG-112, kompromittierte Systeme zu überwachen und zu kontrollieren, Informationen zu sammeln und diese infizierten Systeme möglicherweise für weitere Spionageaktivitäten zu nutzen.

Verbindungen zu TAG-102 (Evasive Panda)

TAG-112 hat mehrere Funktionsmerkmale mit TAG-102 (Evasive Panda) gemeinsam, einem anderen chinesischen APT, der dafür bekannt ist, die tibetische Gemeinschaft ins Visier zu nehmen. Beide Gruppen haben ähnliche Methoden verwendet, einschließlich gefälschter Fehlerseiten, um bösartige Dateien zu verbreiten. Die Operationen von TAG-112 sind jedoch weniger ausgefeilt als die von TAG-102, was darauf hindeutet, dass es sich um eine Untergruppe oder einen weniger erfahrenen Zweig handeln könnte. Während TAG-102 beispielsweise maßgeschneiderte Schadsoftware einsetzt und Verschleierungstechniken verwendet, verlässt sich TAG-112 auf das leicht verfügbare Tool Cobalt Strike, ohne sein JavaScript zu verschleiern.

Trotz aller Verschleierung unterstreichen die Taktiken von TAG-112 und die Überschneidungen mit TAG-102 das anhaltende Interesse der chinesischen Regierung an den Tibetern und anderen ethnischen und religiösen Minderheiten. Derartige Kampagnen sind Teil einer umfassenderen Überwachungs- und Kontrollstrategie. Sie richten sich gegen Gruppen, die als Bedrohung für die Stabilität und Kontrolle der Kommunistischen Partei Chinas (KPCh) wahrgenommen werden.

Empfehlungen zur Risikominderung

Die Kampagne von TAG-112 unterstreicht die Bedeutung proaktiver Cybersicherheitsmaßnahmen, insbesondere für Organisationen, die für staatlich geförderte Akteure ein wertvolles Ziel darstellen könnten. Recorded Future empfiehlt die folgenden Schritte:

1. Erkennung und Prävention von Angriffen: Konfigurieren Sie Ihre Intrusion Detection (IDS) und Intrusion Prevention Systems (IPS) so, dass sie bei allen Indikatoren für eine Kompromittierung (IoCs) in Verbindung mit TAG-112 Alarm schlagen. Ziehen Sie in Erwägung, Verbindungen zu bekannten TAG-112-Infrastrukturen nach einer gründlichen Überprüfung zu blockieren.
2. Schulung von Nutzenden: Erklärem Sie Nutzenden, dass diese beim Umgang mit Dateien, die von nicht vertrauenswürdigen Quellen heruntergeladen wurden, Vorsicht walten lassen sollten. Raten Sie Nutzenden davon ab, Dateien zu öffnen, die automatisch und ohne Eingabe heruntergeladen werden, da diese Teil von Phishing- oder Drive-by-Download-Angriffen sein könnten.
3. Erkennung von Cobalt Strike: Aktivieren Sie die Echtzeit-Überwachung von bösartigen Cobalt Strike C2-Servern mit Hilfe von Threat Intelligence-Modulen wie der Intelligence Cloud von Recorded Future.
4. Netzwerküberwachung: Überwachen Sie regelmäßig den Netzwerkverkehr auf Anzeichen einer Gefährdung, insbesondere auf Verbindungen zu Infrastrukturen mit bekannten Bedrohungen. Malicious Traffic Analysis (MTA) kann beim Erkennen ungewöhnlicher Aktivitäten helfen und Sicherheitsteams auf potenzielle C2-Kommunikation aufmerksam machen.

Ausblick

Die Operationen von TAG-112 gegen tibetische Organisationen spiegeln ein langjähriges Ziel innerhalb chinesischer Cyberspionagekampagnen wider, ethnische und religiöse Minderheiten zu überwachen und zu kontrollieren, insbesondere solche, die als potenziell destabilisierend angesehen werden. Andere Gruppen und Regionen mit ähnlichen, von der KPCh ausgewiesenen Risikoprofilen sind wahrscheinlich Ziele ähnlicher staatlich geförderter Angriffe.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.