Chinese APT-groep richt zich op Zuidoost-Aziatische overheid met voorheen onbekende malware

Verschillende vormen van live-spionage mogelijk, zoals het maken van screenshots, het bewerken van bestanden en het uitvoeren van commando's

| Check Point | 5 min | 07 juni 2021 13:34
Copyright: Check Point
Check Point Research (CPR) waarschuwt voor een nieuw cyberspionagewapen dat wordt gebruikt door een Chinese dreigingsgroep, nadat het een lopende spionageoperatie gericht op een Zuidoost-Aziatische overheid heeft geïdentificeerd en geblokkeerd. In de afgelopen drie jaar ontwikkelden de aanvallers een voorheen onbekende ‘achterdeur’ (backdoor) in de Windows-software die op de pc's van de slachtoffers draaide. Hierdoor werden verschillende vormen van live-spionage mogelijk, zoals het maken van screenshots, het bewerken van bestanden en het uitvoeren van commando's.
  • De hackers begonnen met het verzenden van gewapende documenten, waarin zij zich voordeden als andere departementen binnen dezelfde regering, naar meerdere leden van het ministerie van Buitenlandse Zaken van de geviseerde regering.
  • De hackers ontwikkelden, testten en implementeerden een nieuw cyberspionagewapen, een Windows-backdoor met de interne naam "VictoryDll_x86.dll", waarmee bijna alle gewenste informatie verzameld kon worden.
  • De spionageoperatie ging gepaard met aanzienlijke inspanningen om detectie te vermijden.
De hackers deden zich voor als andere departementen binnen dezelfde regering en stuurden systematisch bewapende documenten naar meerdere leden van het Ministerie van Buitenlandse Zaken van de geviseerde regering. CPR vermoedt dat het doel van de operatie spionage is, door middel van de installatie van een voorheen onbekende backdoor in de Windows-software die op de pc's van de slachtoffers draait. Nadat deze backdoor is geïnstalleerd, kunnen de hackers vrijwel alle informatie verzamelen die ze maar willen, schermafbeeldingen maken en aanvullende malware uitvoeren op de pc van het doelwit. Uit het onderzoek van CPR blijkt dat de hackers het Windows-backdoorprogramma de afgelopen drie jaar hebben getest en verfijnd.

E-mails om de infectieketen te starten

De campagne begon met het verzenden van schadelijke documenten (.docx) aan verschillende werknemers van een overheidsinstantie in Zuidoost-Azië. Deze e-mails werden vervalst zodat het leek alsof ze afkomstig waren van andere overheidsgerelateerde departementen. De bijlagen van deze e-mails waren bewapende kopieën van legitiem ogende officiële documenten en gebruikten de ‘remote template’-techniek om de volgende fase van malware van de server van de aanvaller te halen, inclusief een kwaadaardige code. Remote template is een functie van Microsoft waarmee een template voor een document van een externe server kan worden gehaald wanneer de gebruiker het document opent.

RTF-bestanden als wapen

In deze campagne waren de externe templates allemaal Rich Text Format (RTF) bestanden, waarmee gebruikers tekstbestanden kunnen uitwisselen tussen verschillende tekstverwerkers in verschillende besturingssystemen. De RTF-bestanden werden bewapend met de variant van een tool genaamd RoyalRoad, die de aanvaller in staat stelde aangepaste documenten te maken met ingesloten objecten die de kwetsbaarheden van Equation Editor (een vergelijkingsedtior om wiskundige vergelijkingen mee te maken) van Microsoft Word uitbuiten. Ondanks het feit dat deze kwetsbaarheden al een paar jaar oud zijn, worden ze nog steeds gebruikt door meerdere dreigingsgroepen, en zijn ze vooral populair bij Chinese APT-groepen. De initiële documenten en RTF-bestanden zijn slechts het begin van een uitgebreide infectieketen met meerdere fasen, die hieronder verder worden geanalyseerd.

De overwinning komt binnen via de achterdeur

In het laatste stadium van de infectieketen moet de kwaadaardige lading een DLL-bestand (Dynamic Link Library) downloaden, ontsleutelen en in het geheugen laden.

Een backdoor is een type malware dat de normale verificatieprocedures omzeilt om toegang tot een systeem te krijgen. Hierdoor wordt op afstand toegang verleend tot bronnen binnen het geïnfecteerde apparaat of netwerk, waardoor een aanvaller op afstand de mogelijkheid krijgt om via de backdoor rechtstreeks toegang tot het systeem te krijgen. In deze aanval lijkt de backdoor-module een op maat gemaakte en unieke malware te zijn met de interne naam "VictoryDll_x86.dll".

De achterdeur mogelijkheden van deze malware omvatten de mogelijkheid tot:
  • Verwijderen/creëren/hernoemen/lezen/schrijven van bestanden en opvragen van bestandsattributen
  • Verkrijgen van informatie over processen en diensten
  • Verkrijgen van schermafbeeldingen Pipe Read/Write - opdrachten uitvoeren via cmd.exe
  • Aanmaken/beëindigen van processen
  • Verkrijgen van TCP/UDP-tabellen
  • Verkrijgen van data CDROM-drives
  • Verkrijgen van informatie over registersleutels
  • Verkrijgen van titels van alle top-level windows
  • Verkrijgen van informatie over de computer van het slachtoffer - computernaam, gebruikersnaam, gateway-adres, adaptergegevens, Windows-versie (major/minor-versie en buildnummer) en type gebruiker
  • Aflsluiten van PC

Chinese dreigingsgroep

CPR schrijft de spionageoperatie met een gemiddelde tot hoge mate van betrouwbaarheid toe aan een Chinese dreigingsgroep, op basis van de volgende artefacten en indicatoren:
  • De commando- en controleservers (C&C-servers) communiceerden alleen tussen 01:00 - 08:00 UTC, wat volgens CPR de werktijden zijn in het land van de hackers, waardoor het bereik van mogelijke oorsprong van deze aanval beperkt is.
  • De C&C servers stuurden geen payload terug (zelfs niet tijdens de werkuren), in het bijzonder tijdens de periode tussen 1 en 5 mei - Labor Day holidays in China.
  • Sommige testversies van de backdoor bevatten een controle van de internetconnectiviteit met www.baidu.com - een vooraanstaande Chinese website.
  • De RoyalRoad RTF exploit kit, gebruikt om de documenten in de aanval te bewapenen, wordt meestal in verband gebracht met Chinese APT-groepen.
  • Sommige testversies van de backdoor uit 2018 werden geüpload naar VirusTotal vanuit China

Conclusie

Al het bewijs wijst erop dat het gaat om een zeer georganiseerde operatie die veel moeite heeft gedaan om onder de radar te blijven. Om de paar weken gebruikten de aanvallers spear-phishing e-mails, doorspekt met bewapende versies van overheidsdocumenten, om te proberen voet aan de grond te krijgen bij het Ministerie van Buitenlandse Zaken van het geviseerde land. Dit betekent dat de aanvallers eerst een ander departement binnen het doelland moesten aanvallen, waarbij documenten werden gestolen en bewapend om tegen het Ministerie van Buitenlandse Zaken te gebruiken. Over het geheel genomen gingen de aanvallers zeer systematisch te werk.

Uiteindelijk leidde het onderzoek van CPR tot de ontdekking van een nieuwe Windows-backdoor, met andere woorden een nieuw cyberspionagewapen, dat de Chinese dreigingsgroep sinds 2017 aan het ontwikkelen is. De backdoor werd in de afgelopen drie jaar keer op keer gevormd en hervormd, voordat deze in het wild werd gebruikt. Deze backdoor is veel indringender en in staat om een enorme hoeveelheid gegevens van een geïnfecteerde computer te verzamelen. CPR kwam erachter dat de aanvallers niet alleen geïnteresseerd zijn in cold data, maar ook in wat er op elk moment op de personal computer van het doelwit gebeurt, wat resulteert in live spionage. Hoewel CPR in staat was de beschreven spionageoperatie voor de Zuidoost-Aziatische overheid te blokkeren, is het mogelijk dat de dreigingsgroep dit nieuwe cyberspionagewapen inzet op andere doelwitten over de hele wereld.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Check Point

Check Point Software Technologies (NASDAQ: CHKP) biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt.
Meer over Check Point

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191029200614.jpg
Drive value with data
20191029224512.jpg
Het no-nonsense internetbureau
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030101402.jpg
De grootste Nederlandse site over Android
20191030103431.png
Conference by app developers, for app developers!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.