Een onderzoeksinstituut dat gelieerd is aan de Taiwanese overheid en dat gespecialiseerd is in computers en aanverwante technologieën, is gehackt door nationale actoren met banden met China, zo blijkt uit nieuwe bevindingen van Cisco Talos.
De naamloze organisatie werd al medio juli 2023 aangevallen om een verscheidenheid aan backdoors en post-compromise tools te leveren, zoals ShadowPad en Cobalt Strike. Het is met gemiddelde zekerheid toegeschreven aan een productieve hackersgroep die wordt gevolgd als APT41.
“De ShadowPad-malware die in de huidige campagne wordt gebruikt, misbruikt een verouderde, kwetsbare versie van het binaire bestand van Microsoft Office IME als loader om de aangepaste tweede fase-loader te laden voor het lanceren van de payload”, aldus beveiligingsonderzoekers Joey Chen, Ashley Shen en Vitor Ventura.
“De kwaadwillende partij heeft drie hosts in de doelomgeving gecompromitteerd en een aantal documenten uit het netwerk weten te stelen.”
Cisco Talos meldde dat het de activiteit in augustus 2023 ontdekte, nadat het volgens eigen zeggen ‘abnormale PowerShell-opdrachten’ had gedetecteerd die verbinding maakten met een IP-adres om PowerShell-scripts te downloaden en uit te voeren binnen de gecompromitteerde omgeving.
De exacte initiële toegangsvector die bij de aanval werd gebruikt, is niet bekend. Er werd wel gebruikgemaakt van een webshell om permanente toegang te behouden en extra payloads te droppen, zoals ShadowPad en Cobalt Strike. Laatstgenoemde werd geleverd via een Go-gebaseerde Cobalt Strike-loader met de naam CS-Avoid-Killing.
“De Cobalt Strike-malware is ontwikkeld met behulp van een anti-AV-loader om AV-detectie te omzeilen en de quarantaine van het beveiligingsproduct te omzeilen”, aldus de onderzoekers.
Als alternatief werd de dreigingsactor waargenomen terwijl hij PowerShell-opdrachten uitvoerde om scripts te starten die verantwoordelijk waren voor het uitvoeren van ShadowPad in het geheugen en het ophalen van Cobalt Strike-malware van een gecompromitteerde command-and-control (C2)-server. De DLL-gebaseerde ShadowPad-loader, ook wel ScatterBee genoemd, wordt uitgevoerd via DLL-sideloading.
Andere stappen die werden uitgevoerd als onderdeel van de inbraak, waren onder meer het gebruik van Mimikatz om wachtwoorden te achterhalen en het uitvoeren van verschillende opdrachten om informatie te verzamelen over gebruikersaccounts, directorystructuur en netwerkconfiguraties.
“APT41 heeft een op maat gemaakte loader gemaakt om een proof-of-concept voor CVE-2018-0824 rechtstreeks in het geheugen te injecteren, waarbij gebruik wordt gemaakt van een kwetsbaarheid voor uitvoering van code op afstand om lokale privilege-escalatie te realiseren”, aldus Talos. Hij merkte op dat de laatste payload, UnmarshalPwn, wordt vrijgegeven nadat deze drie verschillende fasen heeft doorlopen.
De cybersecurity-outfit wees ook op de pogingen van de tegenstander om detectie te vermijden door zijn eigen activiteit te stoppen bij het detecteren van andere gebruikers op het systeem. “Zodra de backdoors zijn ingezet, zal de kwaadwillende actor de webshell en het gastaccount verwijderen die de eerste toegang mogelijk maakten,” aldus de onderzoekers.
De onthulling volgt nadat Duitsland eerder deze week bekendmaakte dat Chinese staatsactoren achter een cyberaanval in 2021 op het nationale cartografische agentschap van het land, het Bundesamt für Cartografie und Geodesie (BKG), zaten met als doel spionage.
De Chinese ambassade in Berlijn reageerde op de beschuldigingen en zei dat de beschuldiging ongegrond is. Ze riep Duitsland op om “te stoppen met het misbruiken van cyberveiligheidsproblemen om China politiek en in de media zwart te maken.”