De productieve Chinese natiestaatacteur bekend als APT41 (ook bekend als Brass Typhoon, Earth Baku, Wicked Panda of Winnti) wordt toegeschreven aan een geavanceerde cyberaanval gericht op de gok- en game-industrie.
“Gedurende een periode van minstens zes maanden verzamelden de aanvallers heimelijk waardevolle informatie van het beoogde bedrijf, inclusief maar niet beperkt tot netwerkconfiguraties, gebruikerswachtwoorden en geheimen uit het LSASS-proces”, zegt Ido Naor, medeoprichter en CEO van Het Israëlische cyberbeveiligingsbedrijf Security Joes zegt in een verklaring gedeeld met The Hacker News.
“Tijdens de inbraak hebben de aanvallers hun toolset voortdurend bijgewerkt op basis van de reactie van het beveiligingsteam. Door de acties van de verdedigers te observeren, veranderden ze hun strategieën en hulpmiddelen om detectie te omzeilen en blijvende toegang tot het aangetaste netwerk te behouden.”
De meerfasige aanval, die zich op een van zijn klanten richtte en dit jaar bijna negen maanden duurde, vertoont overlappingen met een inbraak die werd gevolgd door cyberbeveiligingsleverancier Sophos onder de naam Operation Crimson Palace.
Naor zei dat het bedrijf vier maanden geleden op het incident reageerde en voegde eraan toe dat “deze aanvallen afhankelijk zijn van door de staat gesponsorde besluitvormers. Deze keer vermoeden we met groot vertrouwen dat APT41 uit was op financieel gewin.”
De campagne is ontworpen met het oog op stealth, waarbij gebruik wordt gemaakt van een hele reeks tactieken om de doelen te bereiken door gebruik te maken van een aangepaste toolset die niet alleen de in de omgeving geïnstalleerde beveiligingssoftware omzeilt, maar ook kritische informatie verzamelt en geheime kanalen opzet voor permanente toegang op afstand.
Beveiliging Joes beschreef APT41 als zowel ‘zeer bekwaam als methodisch’, waarbij hij het vermogen benadrukte om spionageaanvallen uit te voeren en de toeleveringsketen te vergiftigen, wat leidde tot diefstal van intellectueel eigendom en financieel gemotiveerde inbraken zoals ransomware en cryptocurrency-mining.
De exacte initiële toegangsvector die bij de aanval wordt gebruikt, is momenteel onbekend, maar er zijn aanwijzingen dat het om spearphishing-e-mails gaat, gezien de afwezigheid van actieve kwetsbaarheden in internetgerichte webapplicaties of een compromis in de toeleveringsketen.
“Eenmaal binnen de beoogde infrastructuur voerden de aanvallers een DCSync-aanval uit, met als doel wachtwoord-hashes van service- en beheerdersaccounts te verzamelen om hun toegang uit te breiden”, aldus het bedrijf in zijn rapport. “Met deze inloggegevens vestigden ze volharding en behielden ze de controle over het netwerk, waarbij ze zich vooral richtten op beheerders- en ontwikkelaarsaccounts.”
Er wordt gezegd dat de aanvallers methodisch verkennings- en post-exploitatieactiviteiten hebben uitgevoerd, waarbij ze vaak de toolset hebben aangepast als reactie op de stappen die zijn genomen om de dreiging tegen te gaan en hun privileges te escaleren met als einddoel het downloaden en uitvoeren van extra payloads.
Enkele van de technieken die worden gebruikt om hun doelen te realiseren zijn onder meer Phantom DLL Hijacking en het gebruik van het legitieme hulpprogramma wmic.exe, om nog maar te zwijgen van het misbruiken van hun toegang tot serviceaccounts met beheerdersrechten om de uitvoering te activeren.
De volgende fase is een kwaadaardig DLL-bestand met de naam TSVIPSrv.dll dat wordt opgehaald via het SMB-protocol, waarna de payload contact maakt met een hardgecodeerde command-and-control (C2)-server.
“Als de hardgecodeerde C2 faalt, probeert het implantaat de C2-informatie bij te werken door GitHub-gebruikers te schrappen met behulp van de volgende URL: github(.)com/search?o=desc&q=pointers&s=joined&type=Users&.”
“De malware parseert de HTML die wordt geretourneerd door de GitHub-query en zoekt naar reeksen woorden met hoofdletters, alleen gescheiden door spaties. Het verzamelt acht van die woorden en extraheert vervolgens alleen de hoofdletters tussen A en P. Dit proces genereert een reeks van acht tekens, die het IP-adres codeert van de nieuwe C2-server die bij de aanval zal worden gebruikt.”
Het eerste contact met de C2-server maakt de weg vrij voor het profileren van het geïnfecteerde systeem en het ophalen van meer malware die via een socketverbinding moet worden uitgevoerd.
Beveiliging Joes zei dat de bedreigingsactoren enkele weken stil bleven nadat hun activiteiten waren gedetecteerd, maar uiteindelijk terugkeerden met een vernieuwde aanpak om zwaar versluierde JavaScript-code uit te voeren die aanwezig was in een aangepaste versie van een XSL-bestand (“texttable.xsl”) met behulp van de LOLBIN wmic.exe.
“Zodra het commando WMIC.exe MEMORYCHIP GET wordt gestart, laadt het indirect het bestand texttable.xsl om de uitvoer te formatteren, waardoor de uitvoering van de kwaadaardige JavaScript-code wordt geforceerd die door de aanvaller is geïnjecteerd”, leggen de onderzoekers uit.
Het JavaScript dient op zijn beurt als een downloader die het domein time.qnapntp(.)com gebruikt als een C2-server om een vervolglading op te halen die een vingerafdruk van de machine maakt en de informatie terugstuurt naar de server, onder voorbehoud van bepaalde filters. criteria die waarschijnlijk dienen om alleen die machines te targeten die van belang zijn voor de bedreigingsacteur.
“Wat echt opvalt in de code is de doelbewuste targeting van machines met IP-adressen die de substring ‘10.20.22’ bevatten”, aldus de onderzoekers. “
“Dit benadrukt welke specifieke apparaten waardevol zijn voor de aanvaller, namelijk die in de subnetten 10.20.22(0-9).(0-255). Door deze informatie te correleren met netwerklogboeken en de IP-adressen van de apparaten waarop het bestand stond gevonden, hebben we geconcludeerd dat de aanvaller dit filtermechanisme gebruikte om ervoor te zorgen dat alleen apparaten binnen het VPN-subnet werden getroffen.”
