+43 699 / 18199463
office@itexperst.at
Cyberespionage gegen Vietnam aufgedeckt

Cyberespionage gegen Vietnam aufgedeckt

Kaspersky Forscher haben eine Cyberspionage Operation gegen vietnamesische Regierungs- und Militärorganisationen aufgedeckt. Dahinterstecken sollen chinesischsprachige Hacker, die wohl mit den Cycldek Hackern in Verbindung stehen. Die Forscher fanden Beweise für die Angriffe, bei denen ausgeklügelte Taktiken angewendet wurden. Insbesondere sollte den Forschern bei der Malware Analyse das Reverse Engineering erheblich erschwert werden.

Die Cyberspionage Operationen fanden zwischen Juni 2020 und Januar 2021 gegen Dutzende von Zielen statt. Laut den Experten befanden sich 80 % der Opfer in Vietnams Regierungs- oder Militärsektor. Andere Ziele waren der Gesundheits- und Bildungsbereich, diplomatische und politische Dienste. Vereinzelte Angriffsziele wurden in Zentralasien und in Thailand beobachtet.

Fortschrittlich und sehr raffinierte Cyberspionage Operationen

Die beobachteten neuen Taktiken dieser Kampagne seien sehr fortschrittlich und raffiniert, so Kaspersky in ihrem Bericht. Es sei schon länger bekannt, dass chinesischsprachige Hacker gerne Techniken und Methoden austauschen. Die Forscher wurden auf die Operation aufmerksam, dass dabei eine bekannte Taktik genannt „DLL-Side-Loading-Triade angewendet wurde. Dynamic-Link-Libraries sind Teile von Code. In den aufgedeckten Operationen führt die DLL-Side-Loading-Infektionskette einen Shellcode aus, der einen Remote-Access-Trojaner entschlüsselt. Kaspersky gab ihm den Namen FoundCore. Der Trojaner gibt Angreifern die volle Kontrolle über ein infiziertes Gerät.

Kaspersky erläuterte in der Analyse.

„Die Header (das Ziel und die Quelle des Codes) für den endgültigen Exploit wurden jedoch komplett entfernt. Und die wenigen, die übrig blieben, enthielten inkohärente Werte. Damit erschweren die Angreifer den Forschern das Reverse Engineering der Malware zur Analyse erheblich.“

Laut den Forschen seien die einzelnen Teile der Infektionskette eng miteinander verbunden. Das macht es schwierig bis unmöglich, einzelne Teile isoliert zu analysieren. Außerdem kann man sich dann kein wirklich vollständiges Bild von den bösartigen Aktivitäten machen.

Was die Forscher aber herausfinden konnten, war, dass der Angriff von einer Gruppe ausgeführt wurde, die mit Cycldek in Verbindung steht. Cycldek ist auch bekannt als APT 27, Goblin Panda oder Conimes. Die Hackergruppe war seit 2018 vor allem aktiv gegen Regierungsbehörden in Thailand, Laos und Vietnam. Schon letztes Jahr konnten Kaspersky Forscher aufdecken, dass Cycldek sich in wichtige IT-Netzwerke der drei Länder eingenistet hatte.

Spionage Angriffe mit RAT Trojaner FoundCore

Die Angriffe gegen Regierungs- und Militäreinrichtungen in Vietnam wurden mit dem Remote-Access-Tool FoundCore durchgeführt. Damit konnten die Hacker Dateisysteme und Prozesse manipulieren, Screenshots aufnehmen und beliebige Befehle ausführen.

Der RAT Trojaner gab den Hackern volle Kontrolle über die Zielcomputer. Einmal ausgeführt, löste der Trojaner laut Kaspersky vier Angriffsstufen aus:

  • Als erstens wurde die Persistenz hergestellt, indem ein Dienst erstellt wurde.
  • In der nächsten Stufe wurden ganz unauffällige Informationen für den Dienst gesetzt. Dabei wurden die Felder Description, ImagePath und DisplayName im Dienst geändert.
  • In der dritten Teil wird eine leere Discretionary Access Control List auf das dem aktuellen Prozess zugeordneten Image gesetzt. Damit wird der Zugriff auf die zugrunde liegende bösartige Datei verhindert. Es handelt sich um eine interne Liste, die an ein Objekt in der Active Directory angehängt ist. Sie gibt an, wer auf das Objekt zugreifen und welche Art von Operationen mit dem Objekt durchführt werden können.
  • Dann bootet ein sog. Worker-Thread die Ausführung und stellt die Verbindung mit dem C2-Server her. Bei Bedarf kann er sogar eine Kopie von sich selbst in einen anderen Prozess injizieren.

Die Forscher konnten feststellen, dass FoundCore zwei weitere Spionageprogramme heruntergeladen hatte. Bei dem einen handelt es sich um DropPhone und dem anderen um CoreLoader. DropPhone sammelt Informationen aus dem Umfeld des angegriffenen Rechners und send sie zu DropBox. CoreLoader führt einen Code aus, welcher der Malware hilft, sich gegen die Entdeckung durch Sicherheitsprogramme zu schützen.

FoundCore und Cycldek weltweit gefährlich

Sicherheitsforscher Pierre Delcher von Kaspersky, fügte der Analyse hinzu:

„Chinesischsprachige Gruppen neigen dazu, ihre Taktiken untereinander auszutauschen. Daher wären wir nicht überrascht, wenn wir die gleichen Verschleierungstaktiken in anderen Angriffen finden würden. Kaspersky wird die Bedrohungslandschaft genau auf ähnliche verdächtige Aktivitäten hin beobachten. Das Beste, was Unternehmen derzeit tun können, ist, sich über die neuesten Bedrohungsdaten auf dem Laufenden zu halten. Dann wissen sie, wonach sie Ausschau halten müssen.“

Artikel von threatpost.com, 05.04.2021: Spy Operations Target Vietnam with Sophisticated RAT
Artikel von securelist.com, 05.04.2021: The leap of a Cycldek-related threat actor
Artikel von darkreading.com, 05.04.2021: Kaspersky Uncovers New APAC Cyberespionage Campaign
Artikel von usa.kaspersky.com, 05.04.2021: Advanced threat actors up their game in new APAC cyberespionage campaign

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0 von Pixabay auf pixabay.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen