Die staatlich geförderte chinesische Gruppe TA413 nutzt neue Mittel zur Verfolgung tibetischer Ziele

Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

In diesem Bericht werden mehrere Kampagnen der vermutlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe TA413 detailliert beschrieben. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Expertenanalyse identifiziert. Dieser Bericht dürfte vor allem für Einzelpersonen und Organisationen von Interesse sein, die über strategische und operative Informationen zu chinesischen Cyberbedrohungen verfügen, sowie für humanitäre und andere Organisationen, die sich um die Interessen Tibets kümmern. Unser Dank gilt unseren Kollegen bei Sophos für die frühzeitige Weitergabe und Zusammenarbeit.

Executive Summary

Die Analysten von Recorded Future beobachten weiterhin, dass ethnische und religiöse Minderheitengemeinschaften von staatlich geförderten chinesischen Gruppen zu Überwachungs- und Informationsbeschaffungszwecken gezielt angegriffen werden. Zuvor haben wir über Aktivitäten dieser Art berichtet, die wir RedAlpha zugeschrieben haben. Wir haben seitdem eine weitere Gruppe identifiziert, die besonders unerbittlich gegen die tibetische Gemeinschaft vorgeht und in Open Source allgemein als TA413 bezeichnet wird. Im ersten Halbjahr 2022 haben wir beobachtet, wie TA413 eine mittlerweile gepatchte Zero-Day-Schwachstelle ausnutzte, die auf das Produkt Sophos Firewall (CVE-2022-1040) abzielte, die Schwachstelle „Follina“ (CVE-2022-30190) kurz nach ihrer Entdeckung und Veröffentlichung als Waffe einsetzte und in Kampagnen gegen tibetische Einrichtungen eine neu beobachtete benutzerdefinierte Hintertür einsetzte, die wir als LOWZERO verfolgen. Diese Bereitschaft, schnell neue Techniken und Methoden für den Erstzugriff zu integrieren, steht im Widerspruch dazu, dass die Gruppe weiterhin bekannte und bekannte Fähigkeiten wie die Waffenplattform Royal Road RTF nutzt und häufig laxe Tendenzen bei der Beschaffung von Infrastruktur hat.

Wichtige Urteile

• TA413 betreibt wahrscheinlich Cyber-Spionage im Auftrag des chinesischen Staates. Diese Einschätzung basiert auf den hartnäckigen Angriffen der Gruppe auf die tibetische Gemeinschaft zu Geheimdienstzwecken, der Nutzung maßgeschneiderter Fähigkeiten, die auch andere bekannte, vom chinesischen Staat gesponserte Gruppen nutzen, und anderen technischen Beweisen, die diese Zuschreibung stützen.
• TA413 ist wahrscheinlich ein Nutzer einer gemeinsam genutzten Pipeline zur Entwicklung von Fähigkeiten, die mehreren staatlich geförderten chinesischen Gruppen dient. Beispiele hierfür sind die fortgesetzte Nutzung des Royal Road RTF Builders durch die Gruppe, ein gemeinsam genutzter Zero-Day-Exploit in der Sophos Firewall, dessen Verwendung bei mehreren mit China verbundenen Gruppen beobachtet wurde, sowie der historische Zugriff auf andere gemeinsam genutzte Malware-Familien wie die TClient-Hintertür.
• Insgesamt haben wir mindestens drei vom chinesischen Staat gesponserte Gruppen beobachtet, die es auf die Zero-Day-Schwachstelle CVE-2022-1040 der Sophos Firewall abgesehen haben. Im weiteren Sinne ist diese Aktivität ein weiterer Beweis sowohl für die anhaltende Zunahme der Nutzung von Zero-Day-Angriffen durch vom chinesischen Staat gesponserte Akteure als auch für die fortlaufende Weitergabe maßgeschneiderter Funktionen – einschließlich Exploits – zwischen Gruppen, die mit den chinesischen Geheimdiensten in Verbindung stehen.
• TA413 fügt eine neue benutzerdefinierte Hintertür, LOWZERO, hinzu und weicht von der Verwendung bekannter oder Open-Source-Tools ab.

Hintergrund

Die Aktivitäten von TA413 wurden von Proofpoint erstmals im September 2020 öffentlich gemeldet , als beobachtet wurde, dass die Gruppe wiederholt Angriffe auf die tibetische Gemeinschaft verübte und in den ersten Monaten der COVID-19-Pandemie auch kurzzeitig mehrere europäische Einrichtungen angriff. Bei dieser Aktivität verwendete TA413 den Royal Road RTF-Waffengenerator, der von mehreren staatlich geförderten chinesischen Gruppen gemeinsam genutzt wird, um eine benutzerdefinierte Malware-Familie namens Sepulcher zu laden. In der Vergangenheit wurden die Infrastruktur und die Domänen des E-Mail-Absenders von TA413 mit den öffentlich bekannten Aktivitäten von ExileRAT in Verbindung gebracht, die sich ebenfalls gegen tibetische Einrichtungen richteten, sowie mit der Verwendung der Android-Malware LuckyCat.

Im Februar 2021 wurden weitere TA413-Aktivitäten gemeldet , bei denen eine angepasste bösartige Browsererweiterung für Mozilla Firefox mit dem Namen FriarFox zum Einsatz kam. FriarFox ermöglichte den Zugriff auf und die Kontrolle über die Gmail-Konten der Zielbenutzer und nahm Kontakt mit der Befehls- und Kontrollinfrastruktur auf, die mit dem Javascript-Aufklärungsframework Scanbox in Verbindung steht. Diese Aktivität und andere damit in Zusammenhang stehende TA413-Kampagnen aus dieser Zeit zielten ebenfalls auf Organisationen und Einzelpersonen mit Verbindungen zur tibetischen Gemeinschaft ab und beinhalteten die fortgesetzte Nutzung von Sepulcher und Royal Road.

Überraschenderweise haben TA413-Akteure die Absenderadressen von Phishing-E-Mails über mehrere Jahre hinweg regelmäßig wiederverwendet (wie etwa tseringkanyaq@yahoo[.]com und mediabureauin@gmail[.]com), wodurch sich unterschiedliche Kampagnenaktivitäten mit der Gruppe in Verbindung bringen ließen. Wir haben außerdem historische Korrelationen zwischen TA413 und öffentlich gemeldeten Tropic Trooper-Aktivitäten (Keyboy, Pirate Panda) beobachtet, was auf eine gewisse Überschneidung zwischen diesen Clustern schließen lässt. So haben wir beispielsweise eine Kampagne im Dezember 2018 beobachtet, die sich gegen die tibetische Gemeinschaft richtete. Sie verwendete die Absender-E-Mail-Adresse mediabureauin@gmail[.]com, die historisch mit TA413-Aktivitäten in Verbindung gebracht wird, und die gemeinsame C2-Infrastruktur überschneidet sich mit der von peopleoffreeworld[.]tk. Domäne, die in der Cisco Talos LuckyCat- Kampagne erwähnt wird. Die Infektionskette lud letztendlich die benutzerdefinierte TClient- Hintertür, die in der historischen Tropic Trooper-Aktivität zu sehen war, die von Citizen Lab, Trend Micro und PWC gemeldet wurde. Sowohl die TA413- als auch die Tropic Trooper-zugeschriebenen Aktivitäten verwendeten auch die URI-Zeichenfolge /qqqzqa. Die Verwendung von TClient wurde kürzlich auch von Forschern von Check Point im Paket mit einer chinesischsprachigen Greyware namens „SMS Bomber“ beobachtet .

Es gab auch erkennbare infrastrukturelle Überschneidungen zwischen den Aktivitäten der Tropic Trooper und den TA413-Kampagnen. Beispielsweise die Domain tibetnews[.]today auf die in Berichten von Citizen Lab und Trend Micro verwiesen wird, wurde bis Anfang 2019 auf der IP-Adresse 118.99.13[.]68 von Forewin Telecom gehostet. Später hostete dieses Host mehrere Domänen mit Tibet-Thema, die einzigartigen Taktiken, Techniken und Verfahren (TTPs) der TA413-Infrastruktur entsprachen. Wichtig ist, dass der Bericht des Citizen Lab auf einige Unklarheiten im Zusammenhang mit der öffentlichen Berichterstattung über den Tropic-Trooper-Cluster eingeht, in dem Kampagnen- und Gruppennamen vermischt wurden. Darüber hinaus ist es aufgrund allgemeiner Trends chinesischer Cyber-Spionageaktivitäten sehr plausibel, dass diese Gruppen eine gemeinsame Fähigkeits- und/oder Infrastrukturpipeline genutzt haben und dass TA413 eine Untergruppe der umfassenderen Aktivitäten der Tropic Trooper ist.

Bedrohungs-/technische Analyse

In den vergangenen Jahren konnten wir beobachten, wie die Aktivitäten von TA413 sich unerbittlich gegen Organisationen und Einzelpersonen richteten, die mit der tibetischen Gemeinschaft in Verbindung stehen. Zwar hat die Gruppe ihren Zielkreis gelegentlich erweitert, doch diese Zielgruppe wurde stets ins Visier genommen, was mit ziemlicher Sicherheit auf eine der wichtigsten Geheimdienstaufgaben der Gruppe hinweist. TA413 zeigte außerdem eine ungewöhnliche Mischung aus Beständigkeit bei der Verwendung bekannter Toolsets und Infrastruktur-TTPs und erwies sich gleichzeitig als anpassungsfähig und agil bei der Übernahme von Zero-Day- oder kürzlich bekannt gewordenen Schwachstellen in die Infektionsketten. Im folgenden Abschnitt heben wir einige bemerkenswerte Aktivitäten der TA413-Kampagne hervor, die bisher im Jahr 2022 beobachtet wurden.

Analyse der jüngsten Aktivitäten der TA413-Kampagne

Ausnutzung der Sophos Firewall Zero-Day

Am 25. März 2022 veröffentlichte Sophos eine Warnung zu einer gepatchten Sicherheitslücke zur Umgehung der Authentifizierung, die Remotecodeausführung (RCE) im Benutzerportal und Webadmin der Sophos Firewall ermöglicht und als CVE-2022-1040 verfolgt wird. Der Warnung zufolge hat Sophos beobachtet, dass diese Schwachstelle ausgenutzt wurde, um sich zunächst Zugang zu einer kleinen Anzahl gezielter Organisationen, vor allem in der Region Südasien, zu verschaffen. Alle betroffenen Organisationen wurden direkt von Sophos informiert. Anschließend veröffentlichten sowohl Volexity als auch Sophos Forschungsergebnisse zu mehreren wahrscheinlich vom chinesischen Staat gesponserten Bedrohungsgruppen, die CVE-2022-1040 ausnutzen. Insgesamt haben wir mindestens drei verschiedene, vom chinesischen Staat gesponserte Bedrohungsaktivitätsgruppen identifiziert, die vor der öffentlichen Meldung Zugriff auf diesen Exploit hatten, darunter TA413.

Die im Rahmen der TA413 zugeschriebenen Ausnutzung von CVE-2022-1040 beobachteten Angriffe entsprachen der typischen Aktivität der Gruppe. Die Gruppe verwendete für ihre Aktivitäten nach dem Angriff die IP-Adresse 192.46.213[.]63 von Choopa (Vultr), die zu diesem Zeitpunkt mehrere bekannte TA413-Domänen hostete. Eine zweite IP-Adresse, die bei der Post-Exploitation verwendet wurde, 134.122.129[.]102, gehostet von applestatic[.]com zum Zeitpunkt der Aktivität, wobei es historische Hosting-Überschneidungen mit der TA413-Domäne newsindian[.]xyz gibt.

Tabelle 1: Post-Exploitation-Infrastruktur im Zusammenhang mit TA413, das auf CVE-2022-1040 abzielt (Quelle: Recorded Future)

Weitere Verwendung des Royal Road RTF Weaponizer

TA413 verwendet weiterhin Varianten des gemeinsam genutzten Royal Road RTF-Waffentools für gezielte Phishing-Versuche. Royal Road wird von staatlich geförderten chinesischen Gruppen häufig genutzt und ermöglicht die Erstellung bösartiger RTF-Dateien, die Schwachstellen im Microsoft Equation Editor (CVE-2017-11882, CVE-2018-0798, CVE-2018-0802) ausnutzen sollen. Im Mai 2022 haben wir einen gezielten Spearphishing-Versuch gegen eine tibetische Organisation festgestellt, der einen Link zu einer Royal Road-Probe enthielt, die auf dem Google Firebase-Dienst gehostet wurde. Die Gruppe verwendete die Absenderdomäne tibet[.]bet, die wir zuvor aufgrund gruppenspezifischer Infrastrukturmerkmale mit der Aktivität von TA413 in Verbindung gebracht hatten, während ein Sicherheitsforscher von Proofpoint diese Kampagne ebenfalls der Gruppe zuschrieb .

Tabelle 2: TA413 MalDoc als Waffe mit Royal Road (Quelle: Recorded Future)

Das RTF legt eine Datei mit dem Namen dcnx18pwh.wmf ab, die mit dem XOR-Schlüssel B2 A6 6D FF codiert ist, der einer bekannten Royal Road- Variante zugeordnet ist. Die dekodierte Nutzlast (028e07fa88736f405d24f0d465bc789c3bcbbc9278effb3b1b73653847e86cf8) lädt letztendlich eine benutzerdefinierte Hintertür, die wir als LOWZERO verfolgen, und kontaktiert eine fest kodierte C2-IP-Adresse 45.77.19[.]75 über TCP-Port 110. Weitere Analysen von LOWZERO finden Sie im Abschnitt „Malware-Analyse: TA413s benutzerdefinierte LOWZERO-Backdoor“.

Abbildung 1: Von TA413 verwendeter Königsweg-Köder in tibetischer Sprache (Quelle: Recorded Future)

Ausnutzung der MSDT-Sicherheitslücke CVE-2022-30190 (Follina)

Am 30. Mai 2022 haben wir einen Spearphishing-Versuch identifiziert, der auf eine mit der tibetischen Exilregierung verbundene Organisation abzielte. Bei dieser Aktion gaben sich die Angreifer als Verschwörungstheoretiker der tibetischen Zentralverwaltung aus und verwendeten als Thema ein Fotografie-Stipendium, mit dem Fotografinnen in der tibetischen Gemeinschaft unterstützt werden sollten. Die Phishing-Mail verwendete erneut die Absenderdomäne tibet[.]bet. Die Phishing-E-Mail war mit einer Datei verknüpft, die auf einer Subdomain gehostet wurde, die mit dem Google Firebase-Dienst tibet-gov.web[.]app verknüpft ist. wie auch in nachfolgenden Open-Source- Berichten von Proofpoint erwähnt.

Die Phishing-E-Mails wurden in zwei Wellen verschickt: Die erste war mit einer Microsoft Word-DOCX-Datei verknüpft. Anhang, der auf dem Google Firebase-Dienst gehostet wird und versucht, die Follina-Sicherheitslücke auszunutzen, und ein zweiter, der mit einer RAR-Archivdatei verknüpft ist, die sowohl den bösartigen Microsoft Word-Anhang als auch eine Täuschungs-PNG-Datei enthält. Bilddatei.

Tabelle 3: Bösartige TA413-Datei.docx Datei, die die Follina-Sicherheitslücke ausnutzt (Quelle: Recorded Future)

Abbildung 2: Inhalt der auf der Google Firebase-Domäne gehosteten RAR-Datei: Lockvogel-PNG-Datei (links) und Inhalt der bösartigen DOCX-Datei Datei (rechts) (Quelle: Recorded Future)

Sobald das Word-Dokument geöffnet ist, versucht es, eine HTML-Datei von einem Remote-Webserver abzurufen: http://65.20.75[.]158/poc.html. Die heruntergeladene HTML-Datei verwendet das MSProtocol-URI-Schema ms-msdt, um den Follina-Exploit auszulösen und letztendlich einen Base64-codierten PowerShell-Befehl auszuführen, um eine nachfolgende Nutzlast von http://65.20.75[.]158/0524x86110.exe herunterzuladen. Zum Zeitpunkt der Analyse hostete 65.20.75[.]158 auch die kürzlich registrierten Tibet-Themen-Domains t1bet[.]net und airjaldi[.]online, das den indischen ISP AirJaldi vortäuscht. Insbesondere betreibt AirJaldi das Dharamshala-Netzwerk, das zahlreichen tibetischen Einrichtungen Internetzugang bietet.

Abbildung 3: Von TA413 verwendeter ms-msdt-Befehl zum Ausführen eines Base64-codierten PowerShell-Befehls und Herunterladen der nachfolgenden Nutzlast (Quelle: Recorded Future)

Abbildung 4: Dekodierter PowerShell-Befehl (Quelle: Recorded Future)

Die heruntergeladene Datei 0524x86110.exe ist UPX-gepackt und hat den SHA256-Datei-Hash 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd. Die entpackte UPX-Datei lädt auch LOWZERO und verwendet die Choopa C2-IP-Adresse 45.77.45[.]222 für C2 über Port TCP 110. Insbesondere 45.77.45[.]222 hostete zum Zeitpunkt dieser Aktivität die Domäne tibetyouthcongress[.]com, die unserer Analyse zuvor auch TA413 zugeschrieben wurde.

Andere von TA413 verwendete Werkzeuge

Bei der weiteren Analyse der TA413-Aktivität haben wir außerdem Hinweise darauf gefunden, dass die Gruppe wahrscheinlich das Open-Source-Proxy-Tool Stowaway verwendet. Dies basiert auf der Identifizierung eines ELF-Beispiels (SHA256: 86f45f0d6778fda90a56ea8986a9124d768715af425784bbd1c371feeb2bfe68), das für die Kommunikation mit der IP-Adresse 134.122.129[.]38 konfiguriert ist. das in öffentliche Malware-Repositorys hochgeladen wurde, unmittelbar nach der Zeit, als diese IP die TA413-Domäne freetibet[.]in hostete. Bemerkenswerterweise wurde Stowaway laut einem aktuellen Bericht von Kaspersky auch bei anderen, vermutlich vom chinesischen Staat gesponserten Gruppen im Einsatz beobachtet.

Darüber hinaus haben wir anhand historischer Scandaten ein offenes Verzeichnis identifiziert, das im Juni 2022 auf einem TA413-gesteuerten Server 172.105.35[.]111 vorhanden war. Obwohl zum Zeitpunkt der Entdeckung kein Zugriff mehr darauf möglich war, hatte eine der vorhandenen Dateien den Namen fscan_amd64. Dies deutet wahrscheinlich darauf hin, dass die Gruppe das Open-Source-Tool zum internen Netzwerk-Scannen „fscan“ verwendet, das eine gleichnamige Datei verwendet. Forscher von Trend Micro haben außerdem beobachtet, dass dieses Tool auch von einem anderen mutmaßlich vom chinesischen Staat gesponserten Akteur, TAG-22 (Bronze University, Earth Lusca, Fishmonger, Red Dev 10), verwendet wird.

Viktimologie

Bei all diesen jüngsten Kampagnen konnten wir beobachten, dass TA413 beharrlich Organisationen ins Visier nahm, die mit der tibetischen Gemeinschaft in Verbindung stehen, darunter auch Einrichtungen, die mit der tibetischen Exilregierung in Verbindung stehen. Während dies einen großen Teil der Aktivitäten der Gruppe auszumachen scheint, wurden in Open-Source-Berichten auch kurzlebige TA413-Aktivitäten identifiziert , die sich in der Frühphase von COVID-19 im Jahr 2020 gegen europäische diplomatische und gesetzgebende Gremien, gemeinnützige politische Forschungsorganisationen und globale Organisationen richteten, die sich mit Wirtschaftsangelegenheiten befassen. Mithilfe der aufgezeichneten zukünftigen Netzwerkverkehrsanalyse (NTA) haben wir außerdem Infrastrukturen identifiziert, die mit mehreren Regierungsorganisationen in Nepal verbunden sind, sowie das Unternehmensnetzwerk eines indischen Internetdienstanbieters (ISP), das im ersten Halbjahr 2022 regelmäßig mit der Infrastruktur von TA413 C2 kommunizierte.

Infrastrukturanalyse

TA413 verwendet bei der Beschaffung und Aufrüstung der Betriebsinfrastruktur weiterhin einen konsistenten Satz von Infrastruktur-TTPs, der sich an der öffentlichen Berichterstattung der Vergangenheit orientiert. Die Gruppe hat ihre Domänen überwiegend über GoDaddy registriert und für das Hosting eine Kombination aus Forewin Telecom, Choopa (Vultr) und Linode verwendet. Bemerkenswerterweise verwendete eine große Mehrheit der identifizierten TA413-Domänen auch den Namen der registrierenden Organisation „asfasf“, was wahrscheinlich auf ein durchgängiges Keyboard-Walking der Home-Tasten der linken Tastatur zurückzuführen ist. Diese TTPs stimmen auch mit öffentlich zugeschriebenen TA413-Domänen wie vaccine-icmr[.]net überein, wie in der historischen Berichterstattung von Proofpoint zu sehen.

TA413 nutzt außerdem weiterhin in großem Umfang Domänen, um mit Tibet verbundene Organisationen vorzutäuschen, etwa Nichtregierungsorganisationen (wie den Tibetan National Congress und den Tibetan Youth Congress) und Medienorganisationen (wie die Tibet Times). Die Gruppe hat außerdem Domänen registriert, die größere Organisationen vortäuschen, wie etwa die Jobbörse für Telearbeitsplätze FlexJobs und das indische Nachrichtenunternehmen Rediff News.

Tabelle 4: TA413-Domänen, die bestimmte Organisationen vortäuschen (Quelle: Recorded Future)

Malware-Analyse: TA413s benutzerdefinierte LOWZERO-Backdoor

LOWZERO ist eine Hintertür, die nach der Profilierung des infizierten Computers und dem Senden der Daten an den Befehls- und Kontrollserver zusätzliche Module zum Ausführen erhält. Wir gehen davon aus, dass die Module nur dann bereitgestellt und ausgeführt werden, wenn die Maschine mit dem Fingerabdruck für die Akteure von Interesse ist, da wir bei der Ausführung in einer Sandbox-Umgebung keine zusätzlichen Module beobachtet haben. Die Module erweitern wahrscheinlich die grundlegende Backdoor-Funktionalität von LOWZERO. LOWZERO kann außerdem über den Netzwerklistener empfangene Kommunikation über eine andere Verbindung weiterleiten, die auf Grundlage der zuvor empfangenen Daten definiert wird.

Die folgende Analyse wurde an einer Probe der Malware mit SHA256-Hash 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd durchgeführt

Ebenen zur Ausführung

Die LOWZERO-Ausführungskette enthält mehrere Ebenen/Phasen:

• Phase 1 – Dekomprimiert eine eingebettete DLL-Datei (Phase 2), bevor sie mit XOR entschlüsselt und ausgeführt wird.
• Phase 2 – Startet rundll32.exe im angehaltenen Zustand und fügt die Phase-3-DLL darin ein. Anschließend ruft es den DllEntryPoint und die exportierte Funktion F auf, die von der Phase-3-DLL bereitgestellt wird.
• Phase 3 – Die exportierte Funktion F enthält die Backdoor-Funktionalität

Abbildung 5: LOWZERO-Ladevorgang (Quelle: Recorded Future)

Konfigurationsaufschlüsselung

Die Konfigurationsinformationen von LOWZERO werden als Puffer an die exportierte Funktion F von Phase 3 übergeben. Die Konfigurationsdaten werden sowohl verschlüsselt als auch komprimiert. Der Dekomprimierungsalgorithmus wird angewendet, nachdem der Not- Operator zum Entschlüsseln des Puffers angewendet wurde. Der Dekomprimierungsalgorithmus ist wahrscheinlich LZF (Lempel-Ziv-Free). Derselbe Dekomprimierungsalgorithmus wird auch zum Dekomprimieren der Stage 2-DLL verwendet und dient als Teil des Verschlüsselungs-/Entschlüsselungsschemas für die C2-Kommunikation.

Abbildung 6: Verschlüsselte und komprimierte Konfigurationsdaten (Quelle: Recorded Future)

Abbildung 7 zeigt den Inhalt des Konfigurationsinformationspuffers nach der Entschlüsselung und Dekomprimierung.

Abbildung 7: Entschlüsselte und dekomprimierte Konfigurationsdaten (Quelle: Recorded Future)

Die Kampagnen-ID wird als Mutex verwendet und kann aus den Konfigurationsdaten extrahiert werden. Die in diesem Beispiel gefundene Kampagnen-ID lautet: 8C9BB583-7C26-4990-AA73-E66F594A5AD5.

Die C2-Informationen sind zu diesem Zeitpunkt noch verschleiert. Der binäre Nicht-Operator wird auf jedes Byte angewendet, um die Zeichenfolge teilweise zu deobfuskieren. Die Zeichenfolge wird dann mit dem benutzerdefinierten Alphabet Vhw4W3uB5OcY8qrp21NxbHs7ynSJFoPTEdAUtv9QagIDl6MR0KZkmjfeiCzGXL+/ Base64-dekodiert, um das Endergebnis zu erhalten. Das Endergebnis wird wie in Tabelle 5 dargestellt extrahiert und analysiert.

Tabelle 5: Extrahierte C2-Werte (Quelle: Recorded Future)

C2-Kommunikation

Dieses Beispiel von LOWZERO ahmt eine TLS-Verbindung der Version 1.1 über einen nicht standardmäßigen TLS-Port (TCP 110) nach. Bei der TLS-Verbindung handelt es sich jedoch um eine benutzerdefinierte Verbindung, die nicht dem Protokollstandard entspricht und wahrscheinlich so erstellt wurde, dass sie oberflächlich betrachtet wie TLS aussieht. Dadurch wird die Kommunikation in den übrigen TLS-Verkehr integriert, und der Akteur muss sich nicht um die Beschaffung oder Verwaltung von Zertifikaten kümmern.

Die Kommunikation beginnt mit den standardmäßigen TLS-Handshake-Komponenten Client Hello und Server Hello. Während des Server-Schlüsselaustauschs übergibt der C2 den öffentlichen EC-(Elliptic Curve)-Diffie-Hellman-Schlüssel b113bc93dcd87d350850b7fd643c2c5aee678c3dcb717d1296b0cf57c749f0ab. Es ist wichtig zu beachten, dass beide von uns identifizierten C2s denselben öffentlichen Schlüssel verwenden.

Nachdem die TLS-Hello-Pakete gesendet wurden, tauscht LOWZERO seinen öffentlichen EC-Diffie-Hellman-Schlüssel mit dem C2 aus, den die Hintertür zur Laufzeit zufällig generiert, was bedeutet, dass jede C2-Sitzung einen anderen öffentlichen Schlüssel hat. Abbildung 8 zeigt den TLS-Version 1.1-Handshake von der LOWZERO-Hintertür zum C2.

Abbildung 8: LOWZERO TLS Version 1.1 Handshake (Quelle: Recorded Future)

Bis zu diesem Punkt schien die C2-Verbindung dem Standard-TLS 1.1-Handshake gefolgt zu sein. Bei einer Standardimplementierung von TLS besteht der Prozess beim Datenaustausch zwischen einem Client und einem Server darin, asymmetrische Verschlüsselung zu verwenden, um den symmetrischen Schlüssel sicher auszutauschen und dann auf die symmetrische Verschlüsselung umzusteigen, da diese schneller ist. Hier verstößt LOWZERO jedoch gegen das Protokoll und verwendet keine Public-Key-Verschlüsselung zur sicheren Übertragung des symmetrischen Schlüssels. Stattdessen werden die Zufallsbytes aus dem Client-Hello- Paket und die Zufallsbytes aus dem Server-Hello- Paket per XOR miteinander verknüpft, um einen Schlüssel für den AES-Verschlüsselungsalgorithmus abzuleiten, der zum Entschlüsseln/Verschlüsseln der C2-Kommunikation verwendet wird.

Abbildung 9: Erstellung eines LOWZERO AES-Verschlüsselungs-/Entschlüsselungsschlüssels (Quelle: Recorded Future)

LOWZERO Initialisierungspaket

Nach dem TLS-Handshake und der Ableitung des AES-Schlüssels sendet LOWZERO die folgenden grundlegenden System- und Benutzerinformationen an C2:

1. Nutzername
2. Kampagnen-ID
3. Prozessname und Prozess-ID
4. IP-Adresse
5. Hostname

Die Daten werden dann mit dem unten stehenden benutzerdefinierten LOWZERO-Schema codiert und verschlüsselt und sind auch in Abbildung 10 dargestellt.

1. LZF-komprimiert
2. XOR-verknüpft mit 0x2b
3. Base64-codiert mit dem benutzerdefinierten Alphabet
4. AES-verschlüsselt mit zufällig generiertem Schlüssel (wird bei der C2-Übertragung bereitgestellt)
5. AES-verschlüsselt mit abgeleitetem Schlüssel aus dem XOR des Client/Server Random Bytes Key

Die Entschlüsselung des Datenverkehrs ist durch einfaches Umkehren der oben genannten Vorgänge möglich.

Abbildung 10: LOWZERO C2-Verschlüsselungsschema (Quelle: Recorded Future)

Abbildung 11 zeigt die C2-Kommunikationsstruktur, die den entschlüsselten AES-Verkehr zum und vom C2 darstellt. Die Kernteile der Antwort sind der Befehl (0x06) und die Befehlsdaten (0x0C).

Abbildung 11: LOWZERO C2-Kommunikationsstruktur (Quelle: Recorded Future)

LOWZERO-Befehle

LOWZERO kann einen oder mehrere Befehle gleichzeitig empfangen (Befehlsstruktur siehe Abbildung 11 ) und diese dann einzeln ausführen. Die Funktion am Offset 0x10005090 übernimmt die Header-Prüfung, die das Vorhandensein der Bytes bestätigt, die die ASCII-Werte PK am Anfang des Befehlsabschnitts darstellen, bevor die Befehle analysiert und ausgeführt werden. Zur Auswahl stehen folgende Befehle:

Tabelle 6: LOWZERO-Befehle (Quelle: Recorded Future)

Wir konnten keine Module vom C2 wiederherstellen und können daher nicht feststellen, welche Fähigkeiten die Module zu LOWZERO hinzufügen.

Schwaches C2-Protokoll

Wir konnten die aufgezeichnete Kommunikation entschlüsseln, da der AES-Schlüssel aus dem TLS-Handshake selbst abgeleitet wird. Dadurch können wir die gesendeten Befehle überprüfen und alle an den Opfercomputer übermittelten Module extrahieren. Einzelheiten finden Sie in Anhang C.

Gegenmaßnahmen

• Konfigurieren Sie Ihre Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A verlinkten externen IP-Adressen und Domänen eine Warnung ausgeben und ggf. Verbindungsversuche von und zu diesen blockieren.
• Stellen Sie sicher, dass für alle nach außen gerichteten Dienste und Geräte Sicherheitsüberwachungs- und Erkennungsfunktionen vorhanden sind. Achten Sie auf Folgeaktivitäten, die wahrscheinlich nach der Ausnutzung dieser nach außen gerichteten Dienste stattfinden, wie etwa die Bereitstellung von Webshells, Backdoors oder Reverse Shells.
• Stellen Sie einen risikobasierten Ansatz für das Patchen von Schwachstellen sicher und priorisieren Sie Schwachstellen mit hohem Risiko und solche, die in der freien Wildbahn ausgenutzt werden, wie durch das Modul „Recorded Future Vulnerability Intelligence“ ermittelt.
• Überwachen Sie mithilfe des Moduls „Recorded Future Brand Intelligence“ Domänenmissbrauch, beispielsweise Typosquat-Domänen, die Ihr Unternehmen und Ihre Anbieter vortäuschen.
• Setzen Sie Erkennungs- und Härtungsabdeckung für die in Anhang B hervorgehobenen MITRE ATT&CK-Techniken ein.

Ausblick

Unsere Untersuchungen ergaben, dass die tibetische Gemeinschaft im ersten Halbjahr 2022 immer wieder von der vermutlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe TA413 angegriffen wurde. Die Gruppe integriert kontinuierlich neue Fähigkeiten, verlässt sich aber auch auf bewährte TTPs. Insbesondere der starke Kontrast zwischen einigen der von der Gruppe eingesetzten Tools und den Praktiken des Infrastrukturmanagements deutet wahrscheinlich darauf hin, dass an der Entwicklung von Schadsoftware und Exploits unterschiedliche Teams beteiligt sind und die Operationen nicht von denselben durchgeführt werden. Während der Hauptfokus von TA413 auf Tibeter liegt, gibt es auch zahlreiche historische Infrastruktur- und Malware-Verbindungen zu der als Tropic Trooper (Keyboy, Pirate Panda) bekannten Gruppe, die auf ein gewisses Maß an operativer Überschneidung hinweisen. Im weiteren Sinne ist die Übernahme sowohl von Zero-Day-Schwachstellen als auch von kürzlich veröffentlichten Sicherheitslücken durch TA413 ein Indiz für allgemeinere Trends bei chinesischen Cyber-Spionagegruppen, bei denen Exploits regelmäßig von mehreren unterschiedlichen chinesischen Aktivitätsgruppen verwendet werden, bevor sie der breiten Öffentlichkeit zugänglich gemacht werden.