Verschillende organisaties die actief zijn in de wereldwijde sectoren scheepvaart en logistiek, media en entertainment, technologie en automobiel in Italië, Spanje, Taiwan, Thailand, Turkije en het Verenigd Koninkrijk zijn het doelwit geworden van een “aanhoudende campagne” van de productieve Chinese APT41 hackgroep.
“APT41 is sinds 2023 succesvol geïnfiltreerd en heeft langdurig en ongeautoriseerd toegang gehad tot de netwerken van talloze slachtoffers. Hierdoor konden ze gedurende een langere periode gevoelige gegevens buitmaken”, aldus Mandiant, eigendom van Google, in een nieuw rapport dat donderdag werd gepubliceerd.
Het bedrijf dat zich bezighoudt met dreigingsinformatie, beschreef het vijandige collectief als uniek onder actoren met een link naar China vanwege het gebruik van ‘niet-openbare malware die doorgaans is gereserveerd voor spionageoperaties in activiteiten die buiten het bereik van door de staat gesponsorde missies lijken te vallen’.
Bij aanvalsketens wordt gebruikgemaakt van webshells (ANTSWORD en BLUEBEAM), aangepaste droppers (DUSTPAN en DUSTTRAP) en openbaar beschikbare hulpmiddelen (SQLULDR2 en PINEGROVE) om persistentie te bereiken, extra payloads te leveren en interessante gegevens te exfiltreren.
De web shells fungeren als kanaal voor het downloaden van de DUSTPAN (ook bekend als StealthVector) dropper die verantwoordelijk is voor het laden van Cobalt Strike Beacon voor command-and-control (C2) communicatie, gevolgd door de inzet van de DUSTTRAP dropper na laterale verplaatsing.
DUSTTRAP is daarentegen geconfigureerd om een schadelijke payload te decoderen en uit te voeren in het geheugen. Hierdoor wordt vervolgens contact gemaakt met een door de aanvaller gecontroleerde server of een gecompromitteerd Google Workspace-account. Zo wordt geprobeerd de schadelijke activiteiten te verbergen.
Google zei dat de geïdentificeerde Workspace-accounts zijn hersteld om ongeautoriseerde toegang te voorkomen. Het gaf echter niet aan hoeveel accounts zijn getroffen.
De inbraken worden ook gekenmerkt door het gebruik van SQLULDR2 om gegevens uit Oracle Databases te exporteren naar een lokaal tekstbestand en PINEGROVE om grote volumes aan gevoelige gegevens te verzenden vanaf gecompromitteerde netwerken door Microsoft OneDrive te misbruiken als exfiltratievector.
Het is hierbij van belang om op te merken dat de malwarefamilies die Mandiant volgt als DUSTPAN en DUSTTRAP, overlappen met de families die door Zscaler ThreatLabz respectievelijk de codenaam DodgeBox en MoonWalk hebben gekregen.
“DUSTTRAP is een meerfasen-pluginframework met meerdere componenten”, aldus onderzoekers van Mandiant. Ze voegden toe dat ze minstens 15 plug-ins hebben geïdentificeerd die shell-opdrachten kunnen uitvoeren, bestandssysteembewerkingen kunnen uitvoeren, processen kunnen inventariseren en beëindigen, toetsaanslagen en schermafbeeldingen kunnen vastleggen, systeemgegevens kunnen verzamelen en het Windows-register kunnen wijzigen.
Het is ook ontworpen om externe hosts te onderzoeken, DNS-opzoekingen (Domain Name System) uit te voeren, externe bureaubladsessies te tonen, bestanden te uploaden en verschillende bewerkingen uit te voeren op Microsoft Active Directory.
“De DUSTTRAP-malware en de bijbehorende componenten die tijdens de inbraak werden waargenomen, waren code-ondertekend met vermoedelijk gestolen code-ondertekeningscertificaten”, aldus het bedrijf. “Een van de code-ondertekeningscertificaten leek gerelateerd te zijn aan een Zuid-Koreaans bedrijf dat actief is in de gaming-industrie.”
GhostEmperor komt terug om te spoken
De onthulling komt nadat het Israëlische cybersecuritybedrijf Sygnia details heeft vrijgegeven over een cyberaanvalcampagne die is opgezet door GhostEmperor, een geavanceerde Chinese dreigingsgroep die een variant van de Demodex-rootkit verspreidt.
De exacte methode die gebruikt wordt om targets te schenden is momenteel niet duidelijk, hoewel de groep eerder is waargenomen bij het exploiteren van bekende fouten in internetgerichte applicaties. De eerste toegang faciliteert de uitvoering van een Windows batch script, dat een Cabinet archief (CAB) bestand dropt om uiteindelijk een kern implantaat module te lanceren.
Het implantaat is uitgerust om C2-communicatie te beheren en de Demodex-kernelrootkit te installeren met behulp van een open-sourceproject met de naam Cheat Engine om het Windows Driver Signature Enforcement (DSE)-mechanisme te omzeilen.
“GhostEmperor maakt gebruik van malware die uit meerdere fasen bestaat om heimelijk te kunnen worden uitgevoerd en persistent te blijven. Daarnaast worden er verschillende methoden gebruikt om het analyseproces te belemmeren”, aldus beveiligingsonderzoeker Dor Nizar.
