China-Nexus TAG-112 kompromittiert tibetische Websites zur Verbreitung von Cobalt Strike
Zusammenfassung
Im Rahmen einer kürzlich durchgeführten Cyberkampagne hat die vom chinesischen Staat gesponserte Bedrohungsgruppe TAG-112 zwei tibetische Websites – „Tibet Post“ und „Gyudmed Tantric University“ – kompromittiert, um die Schadsoftware „Cobalt Strike“ zu verbreiten. Die Insikt Group von Recorded Future entdeckte, dass die Angreifer bösartiges JavaScript in diese Websites einbetteten, das einen TLS-Zertifikatsfehler vortäuschte, um Besucher zum Herunterladen eines getarnten Sicherheitszertifikats zu verleiten. Diese Malware, die häufig von Bedrohungsakteuren für den Fernzugriff und die nachträgliche Ausbeutung verwendet wird, zeigt, dass sich die Cyberspionage weiterhin auf tibetische Einrichtungen konzentriert. Die mithilfe von Cloudflare verborgene Infrastruktur von TAG-112 verbindet diese Kampagne mit anderen von China gesponserten Operationen, insbesondere TAG-102 (Evasive Panda).
TAG-112 mit Sitz in China kompromittiert tibetische Websites, um Cobalt Strike zu verbreiten
Cyberangriffe gegen ethnische und religiöse Minderheiten in China dauern an, und neue Entwicklungen deuten auf eine gezielte Kampagne gegen tibetische Organisationen hin. In einer kürzlich durchgeführten Untersuchung entdeckte die Insikt Group von Recorded Future eine vom chinesischen Staat geförderte Gruppe von Bedrohungsakteuren mit der Bezeichnung TAG-112, die für die Kompromittierung tibetischer Community-Websites und die Bereitstellung von Cobalt Strike, einem starken Cyberspionage-Tool, verantwortlich ist.
Wichtige Erkenntnisse
Ende Mai 2024 kompromittierte TAG-112 mindestens zwei Websites der tibetischen Community: Tibet Post (tibetpost[.]net) und Gyudmed Tantric University (gyudmedtantricuniversity[.]org). Die Angreifer nutzten Schwachstellen im Joomla Content Management System (CMS) aus, das von diesen Websites verwendet wird, um bösartiges JavaScript einzuschleusen. Dieses JavaScript forderte die Besucher auf, ein gefälschtes Sicherheitszertifikat herunterzuladen, das, wenn es geöffnet wurde, die Cobalt Strike-Nutzlast auslöste.
Die Infrastruktur von TAG-112 weist deutliche Überschneidungen mit TAG-102 (Evasive Panda) auf, einer anspruchsvolleren, vom chinesischen Staat geförderten Gruppe, die dafür bekannt ist, tibetische Organisationen ins Visier zu nehmen. Die Insikt Group hat TAG-112 jedoch aufgrund von Unterschieden in der Angriffsreife und den Angriffstaktiken als eigenständige Einheit identifiziert, z. B. durch die Verwendung von Cobalt Strike anstelle von maßgeschneiderter Schadsoftware und den Verzicht auf JavaScript-Verschleierung.
Bösartiges JavaScript und gefälschter TLS-Fehler
Der Angriff beginnt mit dem bösartigen JavaScript, das in die kompromittierten Websites eingebettet ist. Wenn ein Benutzer eine dieser Websites besucht, erkennt das Skript das Betriebssystem und den Browsertyp und bestätigt so die Kompatibilität mit Windows. Wenn es kompatibel ist, initiiert das Skript eine Verbindung mit der Command-and-Control-Domain (C2) von TAG-112, update[.]maskrisks[.]com. Diese gibt dann eine HTML-Seite zurück, die einen legitimen TLS-Zertifikatsfehler fälscht.
Diese gefälschte Fehlerseite ist so gestaltet, dass sie die TLS-Zertifikatswarnung von Google Chrome imitiert und Benutzer dazu verleitet, auf einen Link zum „Herunterladen eines Sicherheitszertifikats“ zu klicken. Beim Klicken initiieren Benutzer unwissentlich den Download von Cobalt Strike, einem legitimen Tool, das häufig für Sicherheitstests verwendet wird, aber oft von Angreifern für den Fernzugriff und die Befehlsausführung ausgenutzt wird.
Ausnutzen von Website-Schwachstellen
TAG-112 verschaffte sich wahrscheinlich über Schwachstellen in Joomla, einem beliebten CMS, Zugriff auf die kompromittierten tibetischen Websites. Websites, die mit Joomla erstellt wurden, sind häufig das Ziel von Angreifern, wenn sie nicht angemessen gewartet und aktualisiert werden. Wahrscheinlich konnte TAG-112 durch Ausnutzen dieser Schwächen die bösartige JavaScript-Datei hochladen, die seit Anfang Oktober 2024 auf diesen Websites aktiv ist.
Infrastruktur und Verschleierungstaktiken
Die Infrastruktur von TAG-112 zeigt ein gewisses Maß an Raffinesse bei der Verschleierung ihrer Ursprünge. Die Gruppe nutzte Cloudflare, um die IP-Adressen ihrer Server abzuschirmen, was die Rückverfolgung der Infrastruktur zu ihrem Ursprung erschwert. Die Insikt Group hat mehrere IP-Adressen identifiziert, die mit den C2-Servern von TAG-112 verknüpft sind, von denen einige bereits im März 2024 aktiv waren. Die primäre Domain maskrisks[.]com wurde im März 2024 über Namecheap registriert, mit Subdomains wie mail[.]maskrisks[.]com und checkupdate[.]maskrisks[.]com, die für zusätzliche betriebliche Flexibilität hinzugefügt wurden.
Wie Cobalt Strike von TAG-112 eingesetzt wird
Cobalt Strike ist ein kommerzielles Penetrationstest-Tool, das sich aufgrund seiner Vielseitigkeit und leistungsstarken Funktionen für Fernzugriff, laterale Bewegung sowie Befehls- und Kontrollfunktionen bei Bedrohungsakteuren großer Beliebtheit erfreut. Die Insikt Group hat sechs verschiedene Cobalt Strike Beacon-Proben identifiziert, die mit TAG-112 in Verbindung stehen, wobei ihre C2-Kommunikation an mail[.]maskrisks[.]com gerichtet war. Diese Malware ermöglicht es TAG-112, kompromittierte Systeme zu überwachen und zu kontrollieren, Informationen zu sammeln und diese infizierten Systeme möglicherweise für weitere Spionageaktivitäten zu nutzen.
Verbindungen zu TAG-102 (Evasive Panda)
TAG-112 hat mehrere Funktionsmerkmale mit TAG-102 (Evasive Panda) gemeinsam, einem anderen chinesischen APT, der dafür bekannt ist, die tibetische Gemeinschaft ins Visier zu nehmen. Beide Gruppen haben ähnliche Methoden verwendet, einschließlich gefälschter Fehlerseiten, um bösartige Dateien zu verbreiten. Die Operationen von TAG-112 sind jedoch weniger ausgefeilt als die von TAG-102, was darauf hindeutet, dass es sich um eine Untergruppe oder einen weniger erfahrenen Zweig handeln könnte. Während TAG-102 beispielsweise maßgeschneiderte Schadsoftware einsetzt und Verschleierungstechniken verwendet, verlässt sich TAG-112 auf das leicht verfügbare Tool Cobalt Strike, ohne sein JavaScript zu verschleiern.
Trotz aller Verschleierung unterstreichen die Taktiken von TAG-112 und die Überschneidungen mit TAG-102 das anhaltende Interesse der chinesischen Regierung an den Tibetern und anderen ethnischen und religiösen Minderheiten. Derartige Kampagnen sind Teil einer umfassenderen Überwachungs- und Kontrollstrategie. Sie richten sich gegen Gruppen, die als Bedrohung für die Stabilität und Kontrolle der Kommunistischen Partei Chinas (KPCh) wahrgenommen werden.
Empfehlungen zur Risikominderung
Die Kampagne von TAG-112 unterstreicht die Bedeutung proaktiver Cybersicherheitsmaßnahmen, insbesondere für Organisationen, die für staatlich geförderte Akteure ein wertvolles Ziel darstellen könnten. Recorded Future empfiehlt die folgenden Schritte:
- Erkennung und Prävention von Angriffen: Konfigurieren Sie Ihre Intrusion Detection (IDS) und Intrusion Prevention Systems (IPS) so, dass sie bei allen Indikatoren für eine Kompromittierung (IoCs) in Verbindung mit TAG-112 Alarm schlagen. Ziehen Sie in Erwägung, Verbindungen zu bekannten TAG-112-Infrastrukturen nach einer gründlichen Überprüfung zu blockieren.
- Schulung von Nutzenden: Erklärem Sie Nutzenden, dass diese beim Umgang mit Dateien, die von nicht vertrauenswürdigen Quellen heruntergeladen wurden, Vorsicht walten lassen sollten. Raten Sie Nutzenden davon ab, Dateien zu öffnen, die automatisch und ohne Eingabe heruntergeladen werden, da diese Teil von Phishing- oder Drive-by-Download-Angriffen sein könnten.
- Erkennung von Cobalt Strike: Aktivieren Sie die Echtzeit-Überwachung von bösartigen Cobalt Strike C2-Servern mit Hilfe von Threat Intelligence-Modulen wie der Intelligence Cloud von Recorded Future.
- Netzwerküberwachung: Überwachen Sie regelmäßig den Netzwerkverkehr auf Anzeichen einer Gefährdung, insbesondere auf Verbindungen zu Infrastrukturen mit bekannten Bedrohungen. Malicious Traffic Analysis (MTA) kann beim Erkennen ungewöhnlicher Aktivitäten helfen und Sicherheitsteams auf potenzielle C2-Kommunikation aufmerksam machen.
Ausblick
Die Operationen von TAG-112 gegen tibetische Organisationen spiegeln ein langjähriges Ziel innerhalb chinesischer Cyberspionagekampagnen wider, ethnische und religiöse Minderheiten zu überwachen und zu kontrollieren, insbesondere solche, die als potenziell destabilisierend angesehen werden. Andere Gruppen und Regionen mit ähnlichen, von der KPCh ausgewiesenen Risikoprofilen sind wahrscheinlich Ziele ähnlicher staatlich geförderter Angriffe.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Anhang A – Indikatoren für eine Gefährdung
|
Kompromittierte Websites: tibetpost[.]net gyudmedtantricuniversity[.]org C2-Domains: maskrisks[.]com mail[.]maskrisks[.]com update[.]maskrisks[.]com checkupdate[.]maskrisks[.]com C2-IP-Adressen: 154.90.62[.]12 154.90.63[.]166 154.205.138[.]202 Zertifikate: d0972247c500d2a45f412f9434287161de395a35ef5b4931cba12cf513b76962(*[.]dnspod[.]cn) 94569f64f62eff185ba47e991dba54bdeea6d1a9e205d6bec767be6a864e4efb (Cloudflare Origin *.maskrisks[.]com) d4938cb5c031ec7f04d73d4e75f5db5c8a5c04ce (Gestohlenes Code-Signatur-Zertifikat KP MOBILE) URLs von bösartigem JavaScript: https[:]//gyudmedtantricuniversity[.]org/templates/lt_interiordesign/js/custom.js https[:]//tibetpost[.]net/templates/ja_teline_v/js/gallery/jquery.blueimp-gallery.full.js Bösartige URLs: https[:]//update[.]maskrisks[.]com/download https[:]//update[.]maskrisks[.]com/?type=Chrome https[:]//update[.]maskrisks[.]com/?type=Edge http[:]//mail[.]maskrisks[.]com/api/view.php http[:]//154.205.138[.]202/GetUrl/cache https[:]//checkupdate[.]maskrisks[.]com/cache https[:]//update[.]maskrisks[.]com/cache Cobalt Strike: 1e42cbe23055e921eff46e5e6921ff1a20bb903fca83ea1f1294394c0df3f4cd 0e306c0836a8ee035ae739c5adfbe42bd5021e615ebaa92f52d5d86fb895651d f1f11e52a60e5a446f1eb17bb718358def4825342acc0a41d09a051359a1eb3d f4ded3a67480a0e2a822af1e87a727243dea16ac1a3c0513aec62bff71f06b27 966d311dcc598922e4ab9ce5524110a8bfd2c6b6db540d180829ceb7a7253831 1e7cb19f77206317c8828f9c3cdee76f2f0ebf7451a625641f7d22bb8c61b21b Loader: 8d4049ef70c83a6ead26736c1330e2783bdc9708c497183317fad66b818e44cb E190c7e097a1c38dd45d9c149e737ad9253b1cabee1cee7ef080ddf52d1b378c (legitime Software) 31f11b4d81f3ae25b6a01cd1038914f31d045bc4136c40a6221944ea553d6414 |
Anhang B – Mitre ATT&CK-Techniken
| Taktik: Technik | ATT&CK-Code |
| Ressourcenentwicklung: Infrastruktur erwerben: Server | T1583.004 |
| Ressourcenentwicklung: Infrastruktur erwerben: Web Services | T1583.006 |
| Ressourcenentwicklung: Kompromissinfrastruktur: Server | T1584.004 |
| Erster Zugriff: Drive-by-Kompromittierung | T1189 |
| Umgehung der Verteidigung: Hijack-Ausführungsfluss: DLL-Side-Loading | T1574.002 |
Verwandt