Check Point Software Technologies warnt vor der chinesischen Spionage-Hacker-Gruppe Sharp Dragon, die früher als Sharp Panda aufgetreten ist. Sie hat ihre Aktivitäten verfeinert und setzt mittlerweile auf 1-Day-Schwachstellen, nutzt das bewährte Cobalt-Strike-Beacon als Nutzlast – statt einer benutzerdefinierten Backdoor – und arbeitet mit verschiedenen Funktionen, wie C2-Kommunikation und Remote-Code. Gleichzeitig wählen die mutmaßlich chinesischen Hacker ihre Ziele sorgfältiger aus und betreiben bessere Aufklärung. Zudem versuchen sie ebenfalls besser, ihre eigenen Tools zu verschleiern. Die Masche derzeit: Infizierte oder vertraute Regierungsstellen und Behörden werden als Sprungbrett benutzt, um weitere zu attackieren.
Seit 2021 hat Check Point Research (CPR) die Aktivitäten von Sharp Dragon genau beobachtet. Ihre Taktik besteht in erster Linie aus gezielten Phishing-E-Mails, die in der Vergangenheit zur Verbreitung von Malware wie VictoryDLL oder dem Soul-Framework geführt haben.
In den letzten Monaten war jedoch eine deutliche Veränderung zu beobachten. Sharp Dragon hat seinen Schwerpunkt auf Regierungsorganisationen in Afrika und der Karibik verlagert, was eine deutliche Ausweitung seiner Aktivitäten über den ursprünglichen Bereich hinaus zeigt. Diese Aktivitäten stehen im Einklang mit dem bewährten Modus-Operandi von Sharp Dragon, der durch die Kompromittierung hochrangiger E-Mail-Konten gekennzeichnet ist, um Phishing-Dokumente zu verbreiten, die eine mit RoyalRoad erstellte Remote-Vorlage als Waffe nutzen. Im Gegensatz zu früheren Taktiken setzen diese Köder jetzt jedoch Cobalt-Strike-Beacon ein, was auf eine strategische Anpassung zur Verbesserung ihrer Infiltrationsfähigkeiten hinweist.
Infektionskette
Zunächst nutzen die Bedrohungsakteure maßgeschneiderte Phishing-E-Mails, die oft als legitime Korrespondenz getarnt sind, um die Opfer zu verleiten, verseuchte Anhänge zu öffnen oder auf betrügerische Links zu klicken. Diese Anhänge oder Links führen Programmcode aus, der sich im Laufe der Zeit von benutzerdefinierter Malware wie VictoryDLL und dem Soul-Framework zu weit verbreiteten Tools wie Cobalt-Strike-Beacon entwickelt hat. Nach erfolgreicher Ausführung etabliert sich die Malware auf dem System des Opfers und ermöglicht es den Hackern, die IT-Umgebung des Ziels zu erkunden und Informationen zu sammeln.
Taktik, Techniken und Verfahren
Während die Kernfunktionalität unverändert bleibt, hat CPR doch Änderungen in den Taktiken, Techniken und Verfahren (TTPs) festgestellt. Diese Änderungen spiegeln eine sorgfältigere Auswahl der Ziele und ein stärkeres Bewusstsein für die operative Sicherheit (OPSEC) wider. Einige Änderungen umfassen:
- Breitere Aufklärungserfassung: Der 5.t-Downloader führt jetzt eine gründlichere Erkundung der Zielsysteme durch, einschließlich der Prüfung von Prozesslisten und der Aufzählung von Ordnern, was zu einer sorgfältigeren Auswahl potenzieller Opfer führt.
- Cobalt-Strike-Nutzlast: Sharp Dragon ist von der Verwendung von VictoryDll und dem SoulSearcher-Framework zu Cobalt-Strike-Beacon als Nutzlast für den 5.t-Downloader übergegangen, der Backdoor-Funktionen bereitstellt und gleichzeitig die Exposition benutzerdefinierter Tools minimiert, was auf einen verfeinerten Ansatz zur Zielbewertung und Minimierung der Exposition hindeutet.
- EXE-Loader: Jüngste Beobachtungen deuten auf eine bemerkenswerte Veränderung bei 5.t-Downloadern hin, wobei einige der neuesten Beispiele EXE-basierte Loader anstelle der typischen DLL-basierten Loader enthalten, was die dynamische Entwicklung ihrer Strategien verdeutlicht.
- Kompromittierte Infrastruktur: Sharp Dragon geht von speziellen Servern dazu über, kompromittierte Server als Command-and-Control-(C&C)-Server zu nutzen, insbesondere unter Ausnutzung der Sicherheitslücke CVE-2023-0669, die eine Schwachstelle in der GoAnywhere-Plattform darstellt, welche eine Befehlsinjektion vor der Authentifizierung ermöglicht.
Die strategische Expansion von Sharp Dragon nach Afrika und in die Karibik ist ein Zeichen für die Bemühungen chinesischer Cyber-Akteure, ihre Präsenz und ihren Einfluss in diesen Regionen zu verstärken. Die sich entwickelnde Taktik von Sharp Dragon unterstreicht die dynamische Natur von Cyber-Bedrohungen, insbesondere in Regionen, die in der Vergangenheit übersehen wurden.
„Angesichts dieser Bedrohungen zeigt sich der Umgang deutscher Unternehmen und staatlicher Organisationen mit China nach wie vor als besorgniserregend naiv. Trotz der wachsenden Evidenz für staatlich unterstützte Cyber-Angriffe wird das Risiko oft unterschätzt, was die Anfälligkeit für derartige Angriffe erhöht – zumal die Erfahrungen aus den oben genannten Aktivitäten in mögliche Angriffe gegen Deutschland einfließen werden. Es bedarf eines stärkeren Bewusstseins und verbesserter Sicherheitsmaßnahmen – inklusive der Nutzung verteilter Threat-Intelligence, um derartige Bedrohungen effektiv abwehren zu können,“ erklärt Thomas Boele, Regional Director Sales Engineering CER/DACH bei Check Point Software Technologies.
Info: Mehr dazu unter: https://blog.checkpoint.com/research/chinese-espionage-campaign-expands-to-target-africa-and-the-caribbean/
oder weitere technischen Einzelheiten im CPR-Blog: https://research.checkpoint.com/2024/sharp-dragon-expands-towards-africa-and-the-caribbean/
#CheckPoint
