>
Research (Insikt)

Chinesische Gruppe Calypso APT nutzt mutmaßlich anfällige Microsoft Exchange-Server aus

Veröffentlicht: 25. März 2021
Von: Insikt Group

insikt-logo-blog.png

Ab dem 1. März 2021 stellte die Insikt Group von Recorded Future einen starken Anstieg der Opferkommunikation mit der PlugX-Kommando- und Kontrollinfrastruktur (C2) fest, die öffentlich der mutmaßlich vom chinesischen Staat gesponserten Gruppe Calypso APT zugeschrieben wurde. Wir glauben, dass diese Aktivität höchstwahrscheinlich mit der Ausnutzung kürzlich bekannter Microsoft Exchange-Schwachstellen (auch bekannt als ProxyLogon – CVE-2021-26855, CVE-2021-27065) zusammenhängt. Unsere Beobachtungen decken sich mit aktuellen Berichten von ESET. Demnach wurde festgestellt, dass die Gruppe anfällige Exchange-Server angriff, um dort eine Web-Shell einzusetzen und nach dem Angriff die PlugX-Malware zu laden. 

Die angegriffenen Organisationen waren geographisch weit verstreut und deckten mehrere Branchen ab, was die allgemeine Branchenmeinung stützt, dass die Angriffe wahrscheinlich opportunistisch sind. Zu den Opfern der festgestellten Post-Exploitation-Aktivitäten zählten lokale und nationale Regierungen sowie Unternehmen aus den Bereichen Software, Verteidigung, Finanzen, IT, Recht und Fertigung in Australien, der Tschechischen Republik, Deutschland, Indien, Italien, Kasachstan, Mazedonien, Nepal, der Schweiz, der Ukraine und den Vereinigten Staaten. Wir haben mehrere hochwertige Ziele ermittelt, die vermutlich betroffen sind. Dazu gehören ein US-amerikanischer Distributor von Elektronikteilen für die Verteidigungs- und Luftfahrtbranche, ein indisches Schwermaschinenbauunternehmen mit Präsenz in strategischen Verteidigungssektoren, lokale Regierungen in den USA und Australien sowie eine nordmazedonische Regierungsbehörde. 

Die von der Insikt Group identifizierte Aktivität begann am 1. März 2021, vor der Offenlegung der Schwachstellen. Dies deutet darauf hin, dass die Gruppe wahrscheinlich schon vor der Offenlegung durch Microsoft Zugriff auf den Exploit als Zero-Day-Sicherheitslücke hatte, und bestätigt eine ähnliche Einschätzung von ESET.

Infrastruktur- und Malware-Analyse

Die Insikt Group hat einen Cluster aus PlugX C2-Servern und zugehöriger Infrastruktur verfolgt, der sich mit öffentlichen Berichten zum Calypso APT von PTSecurity und ESET überschneidet. Wir haben unseren Kunden erstmals im August 2020 über Aktivitäten im Zusammenhang mit diesem Infrastrukturcluster berichtet, nachdem wir mutmaßliche Einbruchsaktivitäten festgestellt hatten, die auf einen afghanischen Telekommunikationsanbieter und eine Regierungsbehörde abzielten. Der identifizierte Cluster ist in der folgenden Tabelle 1 aufgeführt:

Aktuelle Hosting-IP Domain Registrator Eingetragen
91.220.203[.]197 () 

[PlugX C2]

 www.membrig[.]com NAMECHEAP INC 13.12.2018
103.30.17[.]44 () www.draconess[.]com NAMECHEAP INC 05.02.2018
91.220.203[.]86 () 

[PlugX C2]

 www.rosyfund[.]com GuangDong NaiSiNiKe Information Technology Co Ltd. 13.12.2018
45.144.242[.]216 () 

[PlugX C2]

 www.sultris[.]com NAMECHEAP INC 02.02.2018
91.220.203[.]86 () 

[PlugX C2]

 www.yolkish[.]com NAMECHEAP INC 29.01.2018
45.76.84[.]36 

()

 mail.prowesoo[.]com NAMECHEAP INC 02.02.2018
45.76.84[.]36 

()

 www.waxgon[.]com NAMECHEAP INC 31.01.2018
107.248.220[.]246

()

 www.rawfuns[.]com1 NICENIC INTERNATIONAL GROUP CO., LIMITED 05.02.2018
45.76.84[.]36 

()

 mail.aztecoo[.]com NICENIC INTERNATIONAL GROUP CO., LIMITED 05.02.2018

Tabelle 1: Verdächtiger Calypso APT-Infrastrukturcluster

Durch die Untersuchung des PlugX-Clusters konnten wir die folgenden wichtigen Beobachtungen zu den Taktiken, Techniken und Verfahren (TTPs) der Infrastruktur von Calypso APT machen:

  • Die Mehrheit der Domänen verwendet das „www.“ Subdomäne für C2 ohne DNS-Eintrag für die Stammdomäne
  • Die meisten Domains wurden beim Registrar NameCheap registriert
  • C2-Domänen länger als 2 Jahre in Betrieb gehalten
  • Die Betriebsinfrastruktur wurde gehostet auf:
    • M247 GmbH
    • Global Network Transit Limited
    • PEG TECH INC
    • Web Werks India Pvt. GmbH
    • Choopa LLC

Die Insikt Group hat die folgenden mit der identifizierten Infrastruktur verknüpften Malware-Beispiele identifiziert, von denen zwei in den Berichten von ESET aufgeführt wurden. Zu diesem Zeitpunkt haben wir noch keine umfassende Analyse dieser Proben durchgeführt:

Dateiname SHA256-Hash Malware-Variante C2 IP/Domäne
FORTITRAY.EXE 913fa95829ba3f77c0673f0af5c6afaeb6e6a2bdd0e98c186df65f1d27b9dc1f Unbekannt www.yolkish[.]com
msf.exe f32866258b67f041dc7858a59ea8afcd1297579ef50d4ebcec8775c816eb2da9 Meterpreter 45.144.242[.]216 
SRVCON.OCX 5d803a47d6bb7f68d4e735262bb7253def6aaab03122b05fec468865a1babe32 PlugX Loader yolkish[.]com und rawfuns[.]com
rapi.dll ab678bbd30328e20faed53ead07c2f29646eb8042402305264388543319e949c Whitebird-Lader yolkish[.]com und rawfuns[.]com

Calypsos Angriff auf Microsoft Exchange Server und die Opfertheorie

chinesische-gruppe-calypso-nutzt-microsoft-exchange-2-1.png Abbildung 1: Zeitleiste von PlugX C2 91.220.203[.]86 (Quelle: Aufgezeichnete Zukunft)

Recorded Future identifizierte zuerst die IP 91.220.203[.]86 als mutmaßlicher PlugX C2 am 14. November 2020. Mithilfe der Recorded Future Network Traffic Analysis (NTA) haben wir ab dem 1. März 2021 einen starken Anstieg der mit diesem C2-Server verknüpften Aktivität von IP-Adressen der Opfer festgestellt, die Microsoft Exchange-Dienste hosten. Wir gehen davon aus, dass dieser Anstieg der Aktivität sehr wahrscheinlich mit der weitverbreiteten Ausnutzung kürzlich bekannt gewordener Schwachstellen in Microsoft Exchange zusammenhängt, die erstmals am 2. März 2021 offengelegt wurden.

Am 10. März 2021 berichtete ESET über eine Reihe von Bedrohungsaktivitätsgruppen, die größtenteils vom chinesischen Staat gesponsert wurden und eine Schwachstellenkette für Remote Code Execution (RCE) vor der Authentifizierung ausnutzten, die einem Angreifer einen ersten Zugriff auf mit dem Internet verbundene Microsoft Exchange-Server ermöglicht:

  • CVE-2021-26855 [ProxyLogon]
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065

Die Ausnutzung dieser Schwachstellen wurde erstmals am 2. März von Microsoft gemeldet und zunächst mit einer in China ansässigen Aktivitätsgruppe in Verbindung gebracht, die vom Microsoft Threat Intelligence Center (MSTIC) als HAFNIUM verfolgt wurde. Die Erkenntnisse von ESET deuten darauf hin, dass die Schwachstellen Ende Februar und Anfang März von weiteren chinesischen Aktivitätsgruppen ausgenutzt wurden, darunter Tick, LuckyMouse und Calypso APT. Diese Aktivität fand vor der öffentlichen Bekanntgabe dieser Schwachstellen statt und lässt darauf schließen, dass diese zusätzlichen chinesischen Aktivitätsgruppen ebenfalls über einen Zero-Day-Exploit Zugriff auf den Exploit hatten. Während HAFNIUM die Schwachstellen zunächst in „begrenzten und gezielten Angriffen“ ausnutzte, wurden sie spätestens ab dem 27. Februar von einer zunehmenden Zahl von Gruppen massenhaft ausgenutzt (1,2,3). 

Das oben erwähnte PlugX C2 IP 91.220.203[.]86 hostet derzeit die Domain www[.]yolkish[.]com, wird im oben genannten ESET- Bericht zur Ausnutzung von Microsoft Exchange-Schwachstellen erwähnt. Im Rahmen dieser Aktivität wurde festgestellt, dass die Gruppe nach einer Ausnutzung an den folgenden Orten Web-Shells ablegte:

C:\inetpub\wwwroot\aspnet_client\client.aspx

C:\inetpub\wwwroot\aspnet_client\discover.aspx

Gegenmaßnahmen

Über diesen Web-Shell-Zugriff wurde Calypso APT dann dabei identifiziert, die oben genannten PlugX- und Whitebird-Malware-Samples zu laden, indem es mithilfe legitimer ausführbarer Dateien die DLL-Suchreihenfolge kaperte. Insikt Group identifizierte über 30 wahrscheinliche Opferorganisationen, die mit der Nummer 91.220.203 kommunizieren[.]86 PlugX C2 ist in zahlreichen Regionen und Branchen vertreten, darunter lokale und nationale Behörden sowie Software-, Verteidigungs-, Finanz-, IT-, Rechts- und Fertigungsunternehmen in Australien, der Tschechischen Republik, Deutschland, Indien, Italien, Kasachstan, Mazedonien, Nepal, der Schweiz, der Ukraine und den USA. Einige dieser Organisationen waren keine typischen Ziele von Cyber-Spionage-Aktivitäten, was die allgemeine Einschätzung der Branche stützt, dass die Angriffe größtenteils opportunistischer Natur sind.

Wir empfehlen die folgenden Maßnahmen, um Aktivitäten im Zusammenhang mit der identifizierten Calypso APT-Aktivität zu erkennen und einzudämmen: 

  • Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den im Anhang aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und ggf. Verbindungsversuche von und zu diesen blockieren.
  • Recorded Future erkennt und protokolliert proaktiv bösartige Serverkonfigurationen im Command and Control Security Control Feed. Die Befehls- und Kontrollliste enthält Tools, die von Calypso und vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppen wie PlugX verwendet werden. Aufgezeichnete zukünftige Clients sollten vor diesen C2-Servern warnen und sie blockieren, um die Erkennung und Behebung aktiver Eindringversuche zu ermöglichen.
  • Wenn Sie Microsoft Exchange vor Ort ausführen, stellen Sie sicher, dass die neuesten Updates installiert und der Patch validiert ist.
  • Folgen Sie nach der Bereitstellung von Updates den Branchenrichtlinien für die Suche nach Web-Shells, die nach einem Angriff auf Exchange-Servern installiert wurden (1, 2).

Indikatoren für eine Gefährdung

Leser können auf die unten aufgeführten Indikatoren in unserem öffentlichen Insikt Group Github-Repository zugreifen: https://github.com/Insikt-Group/Research.

Verwandt