Bitdefender Labs identifiziert neuen APT, der auf Regierungen und Militär abzielt

Die Experten der Bitdefender Labs veröffentlichen detaillierte Untersuchungen eines neuen APT (Advanced-Persistent-Threat) mit dem Namen „Unfading Sea Haze“. Die Analyse legt nahe, dass die Gruppe hinter Unfading-Sea-Haze mit chinesischen Interessen verbunden ist und es auf Regierungen, Militär und andere im Südchinesischen Meer tätige Organisationen abgesehen hat.

Das Hauptziel von Unfading-Sea-Haze ist Spionage und die Ausnutzung unsicherer Anmeldeinformationen und unzureichender Patching-Praktiken auf ungeschützten Geräten und Webdiensten. Diese nutzt die Gruppe, um sehr gezielte Angriffe auf für sie interessante Organisationen zu starten. Hierfür kommt eine maßgeschneiderte Malware zum Einsatz sowie ausgeklügelte Techniken wie DLL-Sideloading, Fileless-Angriffe und ein modifiziertes Gh0st-RAT-Framework. So nistet sich die Gruppe unbemerkt in Systemen ein und bewegt sich anschließend lateral. Dabei geht die Gruppe äußerst professionell vor – und hatte es bis zur heutigen Enthüllung durch die Bitdefender Labs geschafft, seit 2018 unentdeckt zu bleiben.

Dies ist ein cleveres Beispiel für einen dateilosen Angriff, der ein legitimes Tool ausnutzt: MSBuild.exe. Bei diesem Angriff wird ein neuer MSBuild-Prozess von einem entfernten Directory gestartet. So sucht MSBuild nach einer Projektdatei auf diesem entfernten Server. Wenn eine Projektdatei gefunden wird, führt MSBuild den darin enthaltenen Code vollständig im Speicher aus und hinterlässt keine Spuren auf dem Rechner des Opfers.

Die Experten weisen in dieser Region tätige Organisationen darauf hin, wachsam zu sein und die in dem von Bitdefender Labs zusammengestellten Report aufgelisteten IOCs zu beachten, um sich vor der Gruppe zu schützen.

Der vollständige Report steht hier kostenlos zur Verfügung: http://businessinsights.bitdefender.com/deep-dive-into-unfading-sea-haze-a-new-threat-actor-in-the-south-china-sea.

#Bitdefender