Chinesische Hacker nehmen Europa ins Visier

Cybersecurity-Forscher von Proofpoint haben festgestellt, dass die chinesische APT-Hackerbande TA416 (Advanced Persistent Threat) wohl im Zuge der russischen Invasion in die Ukraine vermehrt auf europäische diplomatische Einrichtungen zielt. TA416 (auch bekannt als RedDelta) hat es nach den Angaben der Forscher bereits seit mehreren Jahren auf Europa abgesehen. Die Angreifer setzen dazu Web-Bugs ein, um Profile von Zielkonten zu erstellen.

Web Bugs, auch als Tracking Pixel bekannt, verlinken ein bösartiges Objekt im Text einer E-Mail. Bei Aktivierung wird versucht, eine harmlose Bilddatei vom Hacker-Server abzurufen. Dadurch erhält der Angreifer ein "Lebenszeichen", das ihm bestätigt, dass das Zielkonto gültig ist und potenziell bereit ist, mit Malware verseuchte E-Mails mit Social-Engineering-Inhalten zu öffnen.

Die chinesische Gruppe nutzt die Angriffstechnik, um Ziele auszuspähen und kompromittierte URLs mit verschiedenen Varianten der PlugX-Malware (ein Fernzugriffstrojaner) zu senden. Der Schadcode ist darauf ausgelegt, einen Fernzugriff auf den Computer des Opfers zu initiieren und dort die vollständige Kontrolle zu übernehmen.

Vor kurzem habe die Hackergruppe damit begonnen, die kompromittierte E-Mail-Adresse eines europäischen NATO-Landes zu nutzen, um die diplomatischen Vertretungen eines anderen Landes anzugreifen, heißt es. Proofpoint hat die betroffenen Länder jedoch nicht genannt, wohl um die Ermittlungen der Behörden nicht zu behindern.

Die Angriffs-E-Mails der aktuellen Kampagne kamen erstmals Anfang November 2021 von einem Konto, das sich als Assistent für Sitzungsdienste im Sekretariat der UN-Generalversammlung ausgab. Die Malware-Kampagne zielte auf europäische Diplomaten unter dem Vorwand von Mitteilungen der UNO ab. Dabei stellte sich heraus, dass die Hacker bereits im August 2020 den gleichen Absender angegeben hatten, um Regierungsbeamte in Europa anzugreifen.

"Der Einsatz der Web-Bug-Reconnaissance-Technik deutet darauf hin, dass TA416 bei der Auswahl der Ziele zur Übermittlung von Malware-Payloads immer zielgenauer vorgeht. In der Vergangenheit lieferte die Gruppe in erster Linie Web-Bug-URLs zusammen mit Malware-URLs, um den Empfang zu bestätigen. Im Jahr 2022 ging die Gruppe dazu über, zunächst ein Benutzerprofil zu erstellen und dann Malware-URLs zu versenden.", so ein Forscher von Proofpoint in einer Presseerklärung.

Seit 2020 missbrauchen TA416-Hacker den E-Mail-Marketingdienst SMTP2Go, um sich als europäische Diplomaten auszugeben. Die Standard-Angriffsmethode besteht darin, über diese imitierten Konten eine URL für einen Cloud-Hosting-Dienst wie zum Beispiel Dropbox zu versenden, um eine PlugX-Variante, beispielsweise Trident Loader zur Installation der Remote-Access-Malware bereitzustellen.

Weiterentwickelte Taktiken nutzen Phishing-Techniken

Im Laufe der Zeit hat sich die Technik dahingehend entwickelt, dass zunächst E-Mails mit Webbug-Ressourcen über eine von den Cyberkriminellen kontrollierte IP-Adresse versendet werden. Über diese IP-Adresse werden nacheinander Phishing-E-Mails verschickt, die versuchen, eine bösartige Zip-Datei an Zielpersonen zu senden, die bereits durch Webbug-Kampagnen gescannt wurden.

Die Zip-Datei enthält dieselbe Nutzlast wie die einer Dropbox-URL und wird manchmal in Verbindung mit einer Dropbox-URL versandt, die dieselbe bösartige Archivdatei enthält. Die Datei trägt in der Regel einen geopolitischen Titel, der über ein PDF-Dokumtent geteilt wird, das später als Teil der Infektionskette heruntergeladen wird.

Die Angreifer haben ihre Taktik in der Folge weiter verfeinert: Die Zip-Dateien , die eine Täuschungsdatei, eine legitime PE-Datei (Portable Execution), eine DLL (Dynamic Library Loader) und eine PlugX-Malware-Variante enthalten, beinhalten jetzt nur noch eine rudimentäre ausführbare Datei. Dabei handelt es sich um eine Dropper-Malware (PE-Dropper). Diese Malware veranlasst dann die richtige Konfiguration der ausführbaren Datei und lädt alle vier Komponenten herunter.

Darüber hinaus wurde für die TA416-Malware eine schnellere Entwicklungsmethodik der Nutzlasten eingeführt, indem sie die Hauptkomponenten der Infektionsübertragungsmethode regelmäßig ändert. Die Entschlüsselungs- und Kommunikationsroutinen innerhalb der endgültigen Nutzlast haben sich seit Anfang 2022 ebenfalls kontinuierlich weiterentwickelt.

Neues Cyberspionage-Tool aus China entdeckt

Dass China Cyberspionage betreibt, ist nichts Neues. Doch Forscher der IT-Sicherheitsfirma Symantec haben nach eigenen Angaben eine besonders raffinierte Schadsoftware entdeckt, die von chinesischen Angreifern eingesetzt wird. Die Sicherheitsexperten vermuten, dass eine Malware namens Daxin in einer raffiniert geplanten, langjährigen Spionagekampagne gegen ausgewählte Regierungen und andere Ziele der kritischen Infrastruktur genutzt wurde.

Daxin weise eine bei solchen Akteuren zuvor nicht gesehene technische Komplexität auf, so die Symantec-Forscher. Die US-Behörde Cybersecurity Infrastructure Security Agency CISA äußerte sich ähnlich: "Es ist etwas, das wir vorher nicht gesehen haben", sagte Clayton Romans, ein Programmleiter der Behörde, gegenüber der Nachrichtenagentur Reuters.

Die Malware sei als Windows-Kernel-Treiber getarnt. "Ein heutzutage relativ seltenes Format für Malware", erklären die Symantec-Experten. Dabei würden jedoch fortschrittliche Funktionen implementiert, die es den Angreifern ermöglichen mit infizierten Computern in hochsicheren Netzwerken zu kommunizieren und ein hohes Maß an Tarnung bieten.

"Die meisten Ziele scheinen Organisationen und Regierungen von strategischem Interesse für China zu sein. Darüber hinaus wurden auf einigen der Computer, auf denen Daxin platziert wurde, andere Tools gefunden, die mit chinesischen Spionageakteuren in Verbindung stehen", so das Forscherteam.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.