Chinesischer Bedrohungsakteur TEMP.Periscope nimmt britisches Ingenieursunternehmen mit russischen APT-Techniken ins Visier
Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.
_Hinweis zum Geltungsbereich: Die Insikt Group von Recorded Future analysierte Netzwerkindikatoren für Kompromittierungen und TTPs im Zusammenhang mit einem Einbruchsvorfall, der auf ein in Großbritannien ansässiges Ingenieurunternehmen abzielte. Zu den Quellen gehören die Produkte von Recorded Future, VirusTotal, ReversingLabs, DomainTools Iris und PassiveTotal sowie Metadaten von Drittanbietern und gängige OSINT-Techniken.
Dieser Bericht dürfte vor allem für Unternehmen der Hightech-Industrie in den USA, Europa und Japan von Interesse sein, ebenso wie für jene, die die vom chinesischen Staat geförderte Cyber-Spionage untersuchen._
Executive Summary
Mitarbeiter eines in Großbritannien ansässigen Maschinenbauunternehmens gehörten Anfang Juli 2018 zu den Opfern einer Spear-Phishing-Kampagne. Die Kampagne zielte auch auf die E-Mail-Adresse eines möglicherweise in Kambodscha ansässigen freiberuflichen Journalisten ab, der über kambodschanische Politik, Menschenrechte und die Entwicklung Chinas berichtet. Wir gehen davon aus, dass bei beiden Angriffen dieselbe Infrastruktur zum Einsatz kam wie bei einer gemeldeten Kampagne des chinesischen Bedrohungsakteurs TEMP.Periscope (auch bekannt als Leviathan), der im Vorfeld der Wahlen im Juli 2018 auf kambodschanische Einrichtungen abzielte. Entscheidend ist, dass das Interesse von TEMP.Periscope an dem von ihnen ins Visier genommenen britischen Maschinenbauunternehmen auf Einbruchsversuche im Mai 2017 zurückgeht.
Auf Grundlage der in diesem Bericht dargelegten verfügbaren Daten und Beweise geht Recorded Future mit mittlerer Sicherheit davon aus, dass der chinesische Bedrohungsakteur TEMP.Periscope öffentlich gemeldete, hochentwickelte TTPs der russischen Bedrohungsgruppen Dragonfly und APT28 wiederverwendet hat, um das britische Ingenieurunternehmen ins Visier zu nehmen und sich so wahrscheinlich Zugang zu sensiblen und proprietären Technologien und Daten zu verschaffen. Wir sind davon überzeugt, dass TEMP.Periscope veröffentlichte TTPs wiederverwendet hat, um entweder die Erfolgschancen der Gruppe zu erhöhen, Zugriff auf das Netzwerk des Opfers zu erhalten, oder um durch das Setzen falscher Flaggen die Zuordnung zu umgehen und so die Forscher zu verwirren.
Wichtige Urteile
- Die Angreifer verwendeten wahrscheinlich eine Command-and-Control-Domäne (C2) namens scsnewstoday[.]com, die in einer kürzlichen TEMP.Periscope-Kampagne gegen die kambodschanische Regierung identifiziert wurde .
- Die Angreifer nutzten für den Spearphishing-Angriff einen chinesischen E-Mail-Client, Foxmail.
- Bei dem Angriff wurde eine einzigartige Technik verwendet, die als Dragonfly TTP für den gezielten Angriff auf kritische Infrastrukturen dokumentiert ist . Mit dieser Technik wird versucht, über den Pfad „file://“ im Spearphishing-Aufruf einen bösartigen C2-Server zu erreichen und so SMB-Anmeldeinformationen zu erlangen.
- Bei dem Angriff wurde vermutlich eine Version des Open-Source-Tools Responder als NBT-NS-Poisoner verwendet. APT28 nutzte Responder bei Angriffen auf Reisende, die 2017 in Hotels übernachteten.
- Das britische Ingenieurunternehmen war bereits im Mai 2017 Ziel einer Kampagne von TEMP.Periscope. Dabei wurde die gleiche C2-Infrastruktur verwendet, die später im September 2017 auch für Angriffe auf US-amerikanische Ingenieur- und Wissenschaftseinrichtungen zum Einsatz kam, wie im Leviathan-Bericht von Proofpoint ausführlich beschrieben wird.
Hintergrund
TEMP.Periscope ist ein staatlich geförderter chinesischer Bedrohungsakteur, der erstmals im Oktober 2017 in die Öffentlichkeit gelangte , als Berichte über eine Gruppe namens Leviathan auftauchten. Leviathan nutzte eine Kombination aus einzigartigen Open-Source-Tools, um die Schifffahrts- und Rüstungsindustrie zu Spionagezwecken ins Visier zu nehmen. Der Bericht enthält detaillierte Berichte über die Gruppe, die mindestens bis ins Jahr 2014 zurückreichen.
Monate später tauchten Berichte auf, die auf weitere Aktivitäten gegen den Schifffahrts- und Verteidigungssektor hinwiesen, die sich hauptsächlich gegen Unternehmen in den USA und Europa richteten, und weitere Einzelheiten zu den TTPs der Gruppe enthielten. Die Aktivität wurde mit dem Namen eines neuen Bedrohungsakteurs gekennzeichnet: TEMP.Periscope, die Autoren des Berichts stellten jedoch fest, dass es sich bei Leviathan und TEMP.Periscope um dieselbe Gruppe handelte.
Die verstärkten Angriffe auf hochtechnologische Schiffsbauunternehmen fielen mit den wachsenden regionalen Spannungen im Zusammenhang mit Chinas Ansprüchen auf weite Teile des Territoriums im Südchinesischen Meer zusammen. Die chinesische Cyberspionage gegen Anrainerstaaten des Südchinesischen Meeres nahm 2018 weiter zu. So gab es beispielsweise Berichte, wonach TEMP.Periscope Kambodscha im Vorfeld der Wahlen im Juli 2018 ins Visier genommen habe. Darüber hinaus zeigen Angriffe wie der Anfang 2018 aufgedeckte Angriff auf einen Auftragnehmer der US-Marine, bei dem eine riesige Menge hochsensibler Daten gestohlen wurde, darunter Pläne zur Entwicklung einer U-Boot-gestützten Überschall-Antischiffsrakete, dass China weiterhin auf modernste Marinetechnologie setzt, um die technologische Lücke zu den USA zu schließen.
Bedrohungsanalyse
Der Infektionsvektor
Der von uns untersuchte Einbruchsversuch zielte auf das Netzwerk eines britischen Unternehmens, das spezielle technische Lösungen anbietet. Das britische Ingenieurunternehmen gab Einzelheiten zu dem versuchten Spearphishing-Angriff an Recorded Future weiter. Die folgenden IOCs dienten als Ausgangspunkt für unsere Untersuchung.
Aus den E-Mail-Headern ging hervor, dass der Spearphishing-Angriff am 6. Juli 2018 um 9:30 Uhr UTC über Foxmail versendet wurde. Foxmail ist ein Freeware-E-Mail-Client, der von Tencent, einem der drei größten Internetdienstleistungsunternehmen in China, entwickelt wurde. Foxmail verfügt in China über mehr als drei Millionen Benutzer täglich und wurde bereits früher mit chinesischen APT-Aktivitäten in Verbindung gebracht.
Zusätzlich zu den E-Mail-Adressen der Mitarbeiter des britischen Maschinenbauunternehmens wurde derselbe Spearphishing-Angriff auch an die E-Mail-Adresse eines möglicherweise in Kambodscha ansässigen Journalisten gesendet. Der Absenderaccount täuschte einen australischen Journalisten und Anwalt vor, der unter anderem über zivile und soziale Angelegenheiten in Kambodscha schreibt und für die Phnom Penh Post geschrieben hat.
In einer Spearphishing-Kampagne, die auf die kambodschanischen Wahlen im Juli 2018 abzielte, fälschte der chinesische Bedrohungsakteur TEMP.Periscope die Absenderadresse und gab sich als Mitarbeiter einer kambodschanischen Nichtregierungsorganisation (NGO) aus.
Die E-Mail enthielt zwei bösartige Links. Beim ersten Link „file://“ wird beim Anklicken eine SMB-Sitzung generiert. Der zweite Link führte zu einer URL Datei, die auch zum Erstellen einer ausgehenden SMB-Verbindung konfiguriert wurde.
Der Bedrohungsakteur gab sich als kambodschanischer Reporter aus und forderte das Opfer auf, weitere Informationen auf ihre „Berichts-Website“ hochzuladen. Allerdings wurden die Netzwerkverteidiger der betroffenen Organisation durch Rechtschreib- und Interpunktionsfehler in der Nachricht alarmiert.
Unsere Analyse der im E-Mail-Header enthaltenen Metadaten und eine anschließende kontrollierte Interaktion mit der Dateifreigabe über SMB offenbarten mehrere interessante Merkmale des Eindringversuchs.
Responder: Der „NetBIOS-Giftmacher“
Zuerst haben wir den SMB-Dateipfad-Link analysiert. Wir haben den Hostnamen WIN-PRH492RQAFV auf C2 82.118.242[.]243 beobachtet als versucht wurde, SMB-Anmeldeinformationen vom Opfernetzwerk zu erwerben. Anschließend stellten wir fest, dass der Hostname WIN-PRH492RQAFV in mehreren gegabelten Versionen eines Python-Hacktools namens Responder auf GitHub fest codiert war. Eine Version von Responder mit diesem Hostnamen wurde in einem Build von P4wnP11 gefunden, das auf BeeBin, einem kostenlosen Datei-Upload-Dienst, hochgeladen wurde, und eine andere Version mit demselben Hostnamen wurde in PiBunny gefunden.
Responder wurde im Januar 2014 veröffentlicht. In der im offiziellen GitHub-Repository aufgeführten README-Datei wird es wie folgt beschrieben: „Responder ist ein LLMNR-, NBT-NS- und MDNS-Poisoner. Es beantwortet bestimmte NBT-NS-Abfragen (NetBIOS Name Service) basierend auf ihrem Namenssuffix (siehe: http://support.microsoft.com/kb/163409). Standardmäßig antwortet das Tool nur auf Dateiserver-Dienstanforderungen, die für SMB bestimmt sind. Die Idee dahinter ist, unsere Antworten gezielt einzusetzen und uns im Netzwerk unauffälliger zu verhalten …“
Der böswillige Einsatz von Responder wurde erstmals am 11. August 2017 öffentlich dokumentiert. Verantwortlich dafür war APT28, auch bekannt als Fancy Bear. Das Tool wurde gegen Hotelbesucher eingesetzt, um NetBios-Ressourcen zu fälschen. Die Opfer wurden dazu gezwungen, eine Verbindung zum UDP-Port 137 herzustellen und ihre Anmeldeinformationen über SMB an APT28 weiterzugeben, was der Bedrohungsakteur dann nutzte, um erweiterte Zugriffsrechte auf das Netzwerk zu erhalten.
Weitere Lehren aus Russland: SMB-Anmeldeinformationen über den Pfad „file://“ abgreifen
Aufbauend auf der Verwendung von Responder schien der Bedrohungsakteur auch Techniken eines anderen russischen Bedrohungsakteurs zu übernehmen, nämlich Dragonfly, auch bekannt als Energetic Bear oder Crouching Yeti.
Der Pfad „file://82.118.242[.]243/[REDACTED]“ Der beim Spearphishing verwendete Angriff zielte wahrscheinlich darauf ab, SMB-Anmeldeinformationen zu stehlen, indem ein unsichtbarer Bildtag erstellt wurde, den der Host über SMB abzurufen versucht, während er den Angreifern einen Hashwert des NTLM-Passworts des Benutzers liefert. Bei der Ausführung des Codes erstellt der Browser einen unsichtbaren Bild-Tag und setzt die URL zu einem Angriffsserver unter Verwendung des Protokollschemas „file://“, das auch den NTLM-Hash des Benutzer-Logins überträgt. Dadurch wurde eine wirksame „Wasserstelle“ geschaffen, um Fingerabdrücke potenzieller Opfer zu erfassen und Anmeldeinformationen für spätere Eindringlinge in die Zielnetzwerke zu sammeln.
Diese Technik, bei der der Pfad „file://“ ausgenutzt wird, um eine SMB-Verbindung auszulösen, wurde erstmals am 15. März 2018 von US-CERT öffentlich beschrieben. Es handelt sich dabei um eine ausgeklügelte Technik russischer Regierungsakteure, bei denen es sich vermutlich um den Bedrohungsakteur Dragonfly handelt und die es auf die Energiebranche und andere kritische Infrastruktursektoren abgesehen haben.
SWC gehostet auf 82.118.242[.]243?
Die Registrierungsdetails für 82.118.242[.]243, die mit dem oben beschriebenen Diebstahl der SMB-Anmeldeinformationen in Verbindung stehende IP, erwiesen sich als nicht schlüssig. WHOIS verwies auf die IP innerhalb eines riesigen Bereichs, der beim britischen ISP Virgin Media registriert ist (82.0.0.0 - 82.47.255.255). MaxMind hat die IP jedoch an den bulgarischen Hosting-Anbieter Histate Global Corp. aufgelöst.
Basierend auf den aufgelisteten Schwachstellen in Shodan und den Scan-Ergebnissen für die Maschine ist 82.118.242[.]242 ein Webserver, auf dem wahrscheinlich Windows Internet Information Services (IIS) 7.5 läuft. Die Ports 22, 80, 88, 443, 445, 587, 902 und 5985 sind geöffnet.
Eine andere IP-Adresse, die in den gleichen /24 CIDR-Bereich fällt, 82.118.242[.]124, wurde im Juli 2018 in Recorded Future mit einem ungewöhnlich hohen Risikowert von 89 gekennzeichnet. Dies lag daran, dass die IP in der IOC-Liste von Cisco Talos als mit dem VPNFilter-Botnetz verbundene Schadsoftware der zweiten Stufe erschien. Dieses Botnetz wurde vom US-Justizministerium APT28 zugeschrieben.
Basierend auf der Sicherheitslücke im Webserver 82.118.242[.]243 und der Verwendung der „file://“-Technik zum Stehlen von SMB-Anmeldeinformationen, die das Opfer zur IP umleitet, gehen wir davon aus, dass der Bedrohungsakteur den Webserver kompromittiert und ihn als gezieltes „Watering Hole“ verwendet hat, um im Rahmen dieser Kampagne illegal an SMB-Anmeldeinformationen von Opfern zu gelangen.
WIN-AB2I27TG6FK und der chinesische Bedrohungsakteur TEMP.Periscope
Der Hostname WIN-AB2I27TG6FK wurde als NetBios-Servername des Geräts beobachtet, das den Spearphish von der VPN-IP 193.180.255[.]2 sendet.
Bei der Open-Source-Recherche zum Hostnamen WIN-AB2I27TG6FK wurde unter der URL scsnewstoday[.]com/news/ ein offenes Verzeichnis (zwischengespeicherter Link von Google) gefunden, das mehrere Dateien hostete, die den Hostnamen im Dateinamen enthielten (siehe untenstehenden Snapshot der Domäne). Die Domäne wurde zuvor als C2 gemeldet , das vom chinesischen Bedrohungsakteur TEMP.Periscope zur Bereitstellung seines AIRBREAK-Downloaders verwendet wurde. AIRBREAK, auch bekannt als Orz, ist eine JavaScript-basierte Hintertür, die Befehle aus versteckten Zeichenfolgen in kompromittierten Webseiten und von Akteuren gesteuerten Profilen auf legitimen Diensten abruft.
Zusätzlich zu AIRBREAK hostete der C2-Server von scsnewstoday Berichten zufolge auch andere Schadsoftware und Protokolle im Zusammenhang mit den bösartigen Aktivitäten von TEMP.Periscope, die im Vorfeld der Wahlen im Land auf kambodschanische Einrichtungen abzielten. Der Spearphishing-Angriff auf das britische Maschinenbauunternehmen erfolgte zeitgleich mit dieser Kampagne – Anfang Juli 2018. Gemessen an der Namenskonvention für Dateinamen im offenen Verzeichnis beziehen sich C2S und S2C wahrscheinlich auf Client-zu-Server- und Server-zu-Client-Verbindungen mit dem Hostnamen WIN-AB2I27TG6FK, der unserer Einschätzung nach wahrscheinlich der Hostname ist, der mit scsnewstoday[.]com verknüpft ist. C2. Wir würden erwarten, dass deutlich mehr Dateien aufgelistet werden, wenn sich die Hostnamen in den Dateinamen auf die von TEMP.Periscope angegriffenen Clients bzw. Opfer beziehen würden.
Die Domäne scsnewstoday[.]com wurde auf der US-IP 68.65.123[.]230 gehostet und bis zum 11. Juli 2018 beim Domain-Hosting-Dienst Namecheap registriert. Details zur C2-Domäne wurden erst einen Tag zuvor veröffentlicht , was unserer Ansicht nach die Betreiber von TEMP.Periscope verunsichert haben könnte, sodass die Veröffentlichung der Details zu Ende ging. Leider ist auf das geöffnete Verzeichnis kein Zugriff mehr möglich, weshalb wir die genaue Natur der drei Dateien mit dem Hostnamen WIN-AB2I27TG6FK nicht nachvollziehen konnten.
Branchenberichten zufolge führt die chinesische Spionagegruppe TEMP.Periscope seit mindestens 2013 groß angelegte Phishing-, Eindringungs-, Remote Access Trojaner- (RAT-) und Datenexfiltrationsaktivitäten durch. Der Fokus lag dabei vor allem auf maritimen Unternehmen in zahlreichen Branchen, darunter Maschinenbau, Schifffahrt und Transport, Fertigung, Verteidigung, Behörden und Forschungsuniversitäten. Allerdings hat die Gruppe auch die Branchen professionelle Dienstleistungen und Beratungsdienste, Hightech-Industrie, Gesundheitswesen sowie Medien und Verlagswesen ins Visier genommen.
Ursprungs-IP für Spearphish 193.180.255[.]2
Diese IP erschien in den E-Mail-Header-Informationen als X-Forwarded-For-IP, was darauf hinweist, dass es sich um die ursprüngliche IP-Adresse des Absenders des Spearphishing handelte. Aus den WHOIS-Registrierungsdaten geht hervor, dass 193.180.255[.]2 auf Privat Kommunikation Sverige AB registriert ist. Dies ist der vollständige Firmenname von PrivateVPN, einem beliebten kommerziellen VPN-Dienst. Das Unternehmen gibt an, OpenVPN über die Protokolle TCP/UDP, L2TP, IPSEC, PPTP und IKEv2 zu unterstützen.
Recorded Future identifizierte drei VPN-Verbindungen mit der Adresse 193.180.255[.]2 IP zwischen 30. Juni und 1. Juli 2018. Alle drei Verbindungen erfolgten über UDP 500 (IKE/IKEv2) und kamen von der IP 103.198.138[.]187 aus Bangladesch.
Zusätzlich wurde zwischen dem 3. und 10. Juli 2018 193.180.255[.]2 stellte SSH- (TCP 22), NetBios- (TCP 139) und Microsoft SMB-Verbindungen (TCP 445) zum bösartigen SMB-Anmeldeinformationssammler C2 82.118.242[.]243 her. Interessanterweise fanden diese Verbindungen während des siebentägigen Zeitfensters statt, innerhalb dessen der Spearphishing-Angriff versendet wurde.
Historisches Angriffsziel eines britischen Maschinenbauunternehmens durch TEMP.Periscope
Vor diesem Versuch im Juli war dasselbe britische Maschinenbauunternehmen bereits im Mai 2017 Ziel eines Angriffs gewesen. Diese Kampagne nutzte den ETERNALBLUE-Exploit und eine einzigartige DNS-Tunneler-Hintertür. Der beim Angriff verwendete DNS-Tunneler war für die Kommunikation mit einer Subdomäne von thyssenkrupp-marinesystems[.]org konfiguriert. Bei der Domain handelte es sich offensichtlich um eine Täuschung gegenüber dem deutschen Rüstungskonzern ThyssenKrupp Marine Systems, der auf Schiffsbau spezialisiert ist. Zusätzlich zum Hosting der gefälschten Domain bietet HostSailor VPS IP 185.106.120[.]206 mit Sitz in den Niederlanden hostete auch ein offenes Verzeichnis mit Malware und Tools für den Bedrohungsakteur, nicht unähnlich dem TEMP.Periscope scsnewstoday[.]com C2 und offenes Verzeichnis eingerichtet.
Eine Analyse der gefälschten Domäne durch Recorded Future ergab, dass dieser Server den SeDll-Javascript-Loader SHA256: 146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4 hostete, der im August 2017 von Leviathan (auch bekannt als TEMP.Periscope) verwendet wurde, um eine weitere Javascript-Hintertür, AIRBREAK, auszuführen. Entscheidend ist, dass Leviathan als chinesischer Bedrohungsakteur erstmals im Oktober 2017 erwähnt wurde. Das bedeutet, dass TEMP.Periscope bereits sechs Monate zuvor dieselbe Infrastruktur verwendet hatte, um das britische Ingenieurunternehmen ins Visier zu nehmen.
Im November 2017 wurde ein weiterer Spearphishing-Angriff, der die Sicherheitslücke CVE-2017-11882 im Microsoft Equation Editor ausnutzte, an das britische Ingenieurunternehmen gesendet. Dieser Angriff lieferte eine Cobalt Strike-Nutzlast.
Schlussfolgerungen und Ausblick
Der Spear-Phishing-Versuch hat eine Reihe von TTPs aufgedeckt, die mit den jüngsten Aktivitäten verschiedener Bedrohungsakteure in Verbindung stehen: APT28, Dragonfly und TEMP.Periscope. Wir haben die wichtigsten TTPs, die bei diesem Angriff beobachtet wurden, in chronologischer Reihenfolge aufgelistet, um auf die Wahrscheinlichkeit aufmerksam zu machen, dass Techniken aus öffentlich zugänglichen Berichten über diese TTPs kopiert wurden. Diese sind in der folgenden Tabelle zusammengefasst:
Da die meisten der aufgeführten TTPs APT28, Dragonfly und TEMP.Periscope bereits veröffentlicht wurden, gehen wir davon aus, dass es für die beobachtete Aktivität drei wahrscheinliche Szenarien gibt:
- Verantwortlich dafür war ein russischer Bedrohungsakteur, der sich die TTPs von TEMP.Periscope ausgeliehen hat.
- TEMP.Periscope war dafür verantwortlich und hat TTPs russischer Bedrohungsakteure übernommen.
- Verantwortlich war ein anderer Bedrohungsakteur, der TTPs der russischen Gruppen und TEMP.Periscope verwendete.
Um zu beurteilen, welche der drei oben genannten Hypothesen unsere Beobachtungen am besten erklärt, haben wir die in diesem Bericht aufgeführten gesammelten Beweise ausgewertet.
Erstens sind wir sicher, dass der Angreifer die IP 193.180.255[.]2 verwendet hat. als VPN-Endpunkt zum Senden des Spearphishings, da die IP-Adresse zum schwedischen VPN-Dienst PrivateVPN aufgelöst wird. Wir sind außerdem sicher, dass das Gerät, das den Spearphish gesendet hat, mit dem Hostnamen WIN-AB2I27TG6FK verknüpft war. Darüber hinaus können wir feststellen, dass dieser Hostname im Dateinamen mehrerer Dateien verwendet wurde, die auf einem bekannten TEMP.Periscope C2 gehostet wurden, das über ein offenes Verzeichnis verfügte. Wie bereits zuvor in diesem Bericht erläutert, glauben wir, dass der Absender des Spearphishings, WIN-AB2I27TG6FK, wahrscheinlich der Hostname des offenen Verzeichnisses TEMP.Periscope ist, das unter scsnewstoday[.]com gehostet wird.
Der Spearphishing-Angriff wurde am 6. Juli 2018 versendet. Nur wenige Tage später berichtete FireEye über eine TEMP.Periscope-Kampagne, die auf die kambodschanischen Wahlen im Juli 2018 abzielte und das auf scsnewstoday[.]com gehostete offene Verzeichnis als C2 verwendete. Der Bericht stellte fest, dass dieselbe Infrastruktur wahrscheinlich mindestens seit April 2017 aktiv war.
Zweitens der im Spearphishing enthaltene Pfad „file://“, der auf C2 82.118.242[.]243 verweist. wurde entwickelt, um Anmeldeinformationen über SMB zu stehlen. Diese Technik wurde vom US-CERT im März 2018, fast vier Monate vor dem beobachteten Angriff, öffentlich als Dragonfly-Bedrohungsakteur (TTP) dokumentiert.
Der beobachtete Hostname auf der 82.118.242[.]243 Die IP war WIN-PRH492RQAFV, die, wie wir herausfanden, in einem gegabelten Responder-Skript auf GitHub fest codiert war. Einem im August 2017 veröffentlichten Bericht zufolge wurde das ursprüngliche Responder-Skript zuvor von einem anderen russischen Bedrohungsakteur, APT28, verwendet.
TEMP.Periscope wird von der Forschungsgemeinschaft seit mindestens Oktober 2017 aktiv verfolgt – zwei Monate , nachdem FireEye im August 2017 die Verwendung von Responder durch APT28 aufgedeckt hatte.2 Seitdem gab es zahlreiche Berichte über die Aktivitäten von TEMP.Periscope im Jahr 2018, darunter Kampagnen gegen amerikanische und europäische Schiffsbauunternehmen und die kambodschanische Regierung. Wir sollten hier anmerken, dass der von uns beobachtete Spearphishing-Angriff auch an ein E-Mail-Konto gesendet wurde, das den Namen eines in Kambodscha ansässigen Journalisten enthielt, und zwar von einem Konto, das sich als Vorwand für einen australischen Journalisten ausgab, der zuvor über kambodschanische Themen berichtet hatte.
Daher ist es plausibel, dass TEMP.Periscope, nachdem der Zeitplan für die Entwicklung der russischen Werkzeuge vor der Offenlegung der TEMP.Periscope-Kampagnen öffentlich gemacht wurde, seine TTPs angepasst hat, um entweder Zuordnungsbemühungen zu erschweren oder einfach Techniken zu verwenden, die man für effektiv hielt.
Die Überschneidungen in der Infrastruktur mit scsnewstoday[.]com Auch die C2-Domäne ist von entscheidender Bedeutung. FireEye meldete nur wenige Tage nach dem Versand des Spearphishing-Angriffs an das britische Ingenieurunternehmen öffentlich, dass die Domäne von TEMP.Periscope verwendet wird. Daher ist es höchst unwahrscheinlich, dass ein anderer Bedrohungsakteur die C2-Domäne kompromittiert haben könnte. Darüber hinaus unterstreicht die Tatsache, dass TEMP.Periscope das britische Maschinenbauunternehmen seit mindestens Mai 2017 längerfristig im Visier hatte, die Hartnäckigkeit der Gruppe bei ihren Versuchen, Zugriff zu erlangen.
Auf Grundlage der in diesem Bericht dargelegten verfügbaren Daten und Beweise geht Recorded Future mit mittlerer Sicherheit davon aus, dass der chinesische Bedrohungsakteur TEMP.Periscope TTPs anderer Bedrohungsgruppen wiederverwendet hat, um das britische Ingenieurunternehmen ins Visier zu nehmen und sich so wahrscheinlich Zugang zu dessen vertraulichen und proprietären Technologien und Daten zu verschaffen. TEMP.Periscope hat die Fähigkeit unter Beweis gestellt, seine TTPs schnell anzupassen, um von anderen Gruppen wie APT28 und Dragonfly zu lernen, entweder um die Erfolgschancen beim Zugriff auf das Netzwerk des Opfers zu erhöhen oder um Zuordnungsversuche zu verschleiern.
Recorded Future geht davon aus, dass TEMP.Periscope weiterhin auf Organisationen in den Hightech-Verteidigungs- und Ingenieurssektoren abzielt. Das strategische Erfordernis Chinas, Hochtechnologien zu entwickeln, insbesondere im Schiffsbau, bleibt weiterhin ein Schwerpunkt, da China bestrebt ist, das Gebiet im Südchinesischen Meer zu beherrschen. Wir gehen davon aus, dass TEMP.Periscope auch weiterhin Standard-Malware einsetzen wird, da diese noch immer großen Erfolg hat und ihre Nutzung relativ kostengünstig ist. Sie werden weiterhin aktuelle Schwachstellen beobachten und öffentlich bekannt gewordene Techniken einsetzen, um sich Zugang zu den Netzwerken der Opfer zu verschaffen.
Schließlich ist Recorded Future davon überzeugt, dass die Bedrohungsakteure sich gegenseitig aktiv nachahmen, indem sie Veröffentlichungen und Datenquellen überwachen, um einerseits ihre Infrastruktur zu schützen, andererseits aber auch die von konkurrierenden Akteuren verwendeten Techniken zu beobachten. Wir gehen davon aus, dass die Gegner auch weiterhin falsche Flaggen platzieren werden, entweder mit technischen Mitteln (wie bei der „Olympic Destroyer“-Kampagne) oder durch Technikemulation. Da sich die Mittel zur Erkennung drastisch verbessert haben, spielt die öffentliche Identifizierung von Code-Überschneidungen und die Zuordnung von TTPs gut koordinierten Operationen in die Hände, die nun bestenfalls zu unklaren Zuordnungsergebnissen führen können. Aufgrund der großen Menge an öffentlicher Berichterstattung zu diesen Themen können die in einem Bericht genannten Beispiele und Techniken nun rasch in neue oder laufende Kampagnen übernommen werden. Durch diese Verschleierung können gezielte Kampagnen besser mit dem Lärm der Öffentlichkeit verschmelzen und versuchen, die Grenzen zwischen den gegnerischen Gruppen zu verwischen.
Empfehlungen zur Netzwerkverteidigung
Recorded Future empfiehlt Organisationen die Durchführung der folgenden Maßnahmen zur Abwehr von TEMP.Periscope-Versuchen, Anmeldeinformationen zu stehlen, um Netzwerkzugriff zu erhalten:
- Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.
- Fügen Sie die bereitgestellten Snort-Regeln in Anhang B in IDS- und IPS-Geräte ein, um Versuche des Diebstahls von SMB-Anmeldeinformationen zu erkennen. Verwenden Sie gegebenenfalls auch die bereitgestellten Bro-Abfragen in Anhang B, um in Ihrem Netzwerk nach Anzeichen der in diesem Bericht beschriebenen TEMP.Periscope-TTPs zu suchen.
- Verwenden Sie die API von Recorded Future, um die in diesem Bericht aufgeführten Indikatoren (Anhang A) in Ihre Endpoint Detection and Response (EDR)-Plattform zu importieren.
- Konfigurieren Sie die Endpunkterkennung und den Antwortverkehr, um Verbindungen zu Indikatoren in Anhang A zu melden und zu blockieren.
- Nutzen Sie die bereitgestellte Yara-Regel in Anhang C, um Ihr Netzwerk nach Beweisen für den Spearphishing-Versand an Ihr Unternehmen zu durchsuchen.
- Überwachen und beschränken Sie den SMB-Verkehr in Ihrem Netzwerk, insbesondere externe Authentifizierungsversuche über SMB.
Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.
1P4wnP1 ist eine hochgradig anpassbare USB-Angriffsplattform, die auf einem Raspberry Pi Zero-Computer basiert.
2 F-Secure veröffentlichte im August 2016 eine Studie zu seinen Untersuchungen zum NanHaiShu RAT, das seitdem TEMP.Periscope (Leviathan) zugeschrieben wird.
Verwandt