Check Point Research (CPR), die Sicherheitsforschungs-abteilung von Check Point Software Technologies hat eine Malware-Kampagne beobachtet, die sich an Ziele in Katar richtet und Foto-Archive mit Bildern aus dem Konflikt in Nahost als Lockmittel nutzt, um Malware einzuschleusen.
Kurz nach Beginn der Angriffe am 1. März beobachtete CPR gezielte, mutmaßlich per E-Mail durchgeführte Kampagnen gegen Einrichtungen in Katar. Angebliche Fotos aus dem Kriegsgebiet sollten sich in echte digitale Kommunikation über die aktuellen Geschehnisse einreihen und dementsprechend unauffällig kursieren. Bei der ersten von Check Point Research identifizierten Infektionskette sendeten die Hintermänner ein Archiv, das sich als Fotosammlung von Angriffen auf amerikanische Stützpunkte in Bahrain tarnte.
Backdoor „PlugX“ lässt auf chinesische Akteure schließen
Klickt man auf das Archiv, um es zu öffnen, führte eine LNK-Datei aus dem Archiv eine ungewöhnlich lange Infektionskette in Gang: Sie kontaktiert einen kompromittierten Server, um die nächste Stufe der Nutzlast abzurufen und installiert dann eine PlugX-Backdoor..
PlugX ist eine modulare Backdoor, die seit mindestens 2008 mit mehreren chinesischen Nexus-Bedrohungsakteuren in Verbindung gebracht wird. Ihre Plugin-basierte Architektur ermöglicht den Fernzugriff und eine breite Palette von Funktionen nach der Kompromittierung, einschließlich Dateiexfiltration, Bildschirmaufzeichnung, Protokollierung von Tastatureingaben und Ausführung von Fernbefehlen.
PlugX verwendet einen Schlüssel zur Konfigurationsverschlüsselung, der mit früheren Kampagnen von Camaro Dragon in Verbindung gebracht werden kann. CPR beobachtete dieselbe Übertragungsmethode bereits Ende Dezember bei Angriffen auf türkische Militärziele. Diese Übereinstimmung deutet darauf hin, dass Camaro Dragon sich auf den Nahen Osten konzentriert und nun die Operationen auf Einrichtungen in Katar verlagern, da die aktuellen Geschehnisse neue Angriffsmöglichkeiten schaffen.
Auch Angriffe auf Öl- und Gasanlagen am Golf als Lockmittel ausgenutzt
In einer anderen Kampagne beobachtete CPR einen Angriff, der vermutlich ebenfalls auf Katar abzielte und ein passwortgeschütztes Archiv mit dem Namen „Strike at Gulf oil and gas facilities.zip“ verwendete, das wahrscheinlich per E-Mail zugestellt wurde. Die Kampagne verwendete minderwertige KI-generierte Köder, die vermeintlich von der israelischen Regierung stammen sollten, um einen bisher unbekannten Rust-basierten Loader zu installieren. Dieser missbrauchte eine Komponente, die bisher nur bei einer begrenzten Anzahl von Kampagnen mit chinesischem Hintergrund beobachtet wurde.
Die letzte Nutzlast, die bei dieser Operation eingesetzt wurde, war Cobalt Strike, ein bekanntes Penetrationstest-Framework, das häufig für bösartige Aktivitäten verwendet wird. Bedrohungsakteure verwenden es häufig als anfängliche Nutzlast zur schnellen Erkundung neu angegriffener Systeme und Netzwerke, um die Umgebung zu bewerten und festzustellen, ob eine tiefergehende Infiltration lohnenswert ist.
Unter Vorbehalt ordnet CPR diese Angriffe chinesischen Akteuren zu. Die Verwendung von DLL-Hijacking unter Verwendung von NVDA-Komponenten, Cobaltstrike und einer über Kaopu-Cloud und Cloudflare registrierten C2-Infrastruktur stimmt mit TTPs überein, die zuvor mit chinesischen Bedrohungsakteuren in Verbindung gebracht wurden. Die Zeitstempel des Angriffs stützen die Vermutung ebenfalls.
Chinesische Hacker verlagern ihren Fokus auf den Nahen Osten
Die in diesen Kampagnen beobachteten Aktivitäten deuten darauf hin, dass regionale Entwicklungen und Konflikte die Prioritäten cyberkrimineller Gruppen schnell ändern können. Unmittelbar nach der Eskalation im Nahen Osten beobachtete CPR mindestens zwei verschiedene Bedrohungsakteure, die es auf Einrichtungen in Katar abgesehen hatten. Dabei nutzten sie Köder, die das öffentliche Interesse an den regionalen Konflikten ausnutzten und darauf zugeschnitten waren, sich in die schnelllebige Kommunikation vor Ort einzufügen.
Beide Infiltrationsversuche zeigen, wie schnell Spionageakteure auf geopolitische Ereignisse reagieren. Die unmittelbare Konzentration auf Katar spiegelt nicht nur opportunistische Cyberkriminalität im Zusammenhang mit regionalen Krisen wider. Sie ist auch Zeuge einer breiteren Verlagerung der Prioritäten auf den Staat Katar, der sich im Schnittpunkt mehrerer konkurrierender regionaler und globaler Mächte und Interessen befindet.
Info: Weitere Informationen und technische Details finden sich hier: https://blog.checkpoint.com/research/china-nexus-activity-against-qatar-observed-amid-expanding-regional-tensions/
#CheckPoint
