Arctic Wolf Labs, das Threat-Research-Team von Arctic Wolf, hat eine neue Kampagne von Dropping-Elephant identifiziert, die sich gegen türkische Rüstungsunternehmen richtet, insbesondere gegen einen Hersteller von präzisionsgelenkten Raketensystemen. Die Cyberspionagegruppe, die auch unter „Chinastrats“ und „Patchwork“ bekannt ist, ist ein relativ neuer Bedrohungsakteur, der mit einer Reihe maßgeschneiderter Angriffstools eine Vielzahl hochkarätiger diplomatischer und wirtschaftlicher Ziele anvisiert. Mit ihrer aktuellen Kampagne nutzt die Gruppe eine fünfstufige Ausführungskette, die über bösartige LNK-Dateien verbreitet wird. Diese sind als Einladungen zu Konferenzen getarnt und werden an Interessenten unbemannter Fahrzeugsysteme versendet.
Der Angriff nutzt legitime Binärdateien (VLC-Media-Player und Microsoft-Task-Scheduler) zur Umgehung von Abwehrmaßnahmen durch DLL-Side-Loading-Techniken. Dies stellt eine bedrohliche Weiterentwicklung der Fähigkeiten dieses Bedrohungsakteurs dar, der von den im November 2024 beobachteten x64-DLL-Varianten zu den aktuellen x86-PE-Ausführungsdateien mit verbesserten Befehlsstrukturen übergegangen ist.
Der Zeitpunkt der Kampagne scheint mit der verstärkten Verteidigungszusammenarbeit zwischen der Türkei und Pakistan sowie den jüngsten militärischen Spannungen zwischen Indien und Pakistan zusammenzufallen. Dieses deutet darauf hin, dass die Angriffe möglicherweise geopolitisch motiviert sind. Die Analyse der Infrastruktur zeigt gezielte operative Sicherheitsmaßnahmen, darunter die Nachahmung legitimer Websites für die Command-and-Control-Infrastruktur (C2).
Dies zeigt, wie Bedrohungsakteure Social-Engineering-Kampagnen mit präzise gestalteten Ködern durchführen, um strategische Informationen zu sammeln.
Wichtige Erkenntnisse im Überblick:
- Kampagnenentwicklung
o Bedrohungsakteur: Dropping-Elephant.
o Technische Entwicklung: Diversifizierung von x64-DLL zu x86-PE-Architektur mit reduzierten Bibliotheksabhängigkeiten.
o Umfang der Kampagne: In früheren Kampagnen wurden mehrere Länder ins Visier genommen, in dieser speziellen Kampagne liegt der operative Schwerpunkt auf der Türkei.
- Vorgehen
o Erster Zugriff: Spear-Phishing mit LNK-Dateien zum Thema Konferenzen.
o Ausführung: Fünfteilige PowerShell-basierte Download-Kette der bösartigen Domain expouav[.]org.
o Umgehung von Abwehrmaßnahmen: VLC-DLL-Side-Loading, Manipulation von Dateierweiterungen und Systemverankerung über geplante Aufgaben.
o Befehlsstruktur: Verbessertes C2-Protokoll unter Verwendung von strtok() aus der C-Standardbibliothek für die Analyse und CreateThread-Ausführung.
- Angriffsziel
o Primäres Ziel: Ein türkischer Hersteller von präzisionsgelenkten Systemen.
o Sektor: Verteidigungsindustrie, insbesondere Raketen- und Raketensysteme.
o Geopolitischer Kontext: Militärische Zusammenarbeit der Türkei mit Pakistan inmitten regionaler Spannungen.
Info: Weitere Informationen zum Thema finden sich hier im Arctic Wolf-Blog:
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
#ArcticWolf
