De China-gekoppelde cyberspionagegroep volgde als Apt41 is toegeschreven aan een nieuwe campagne die zich richt op IT -diensten van de overheid in de Afrikaanse regio.
“De aanvallers gebruikten hardcode namen van interne services, IP -adressen en proxy -servers ingebed in hun malware,” zeiden Kaspersky -onderzoekers Denis Kulik en Daniil Pogorelov. “Een van de C2S (command-and-control-servers) was een captive SharePoint-server binnen de infrastructuur van het slachtoffer.”
APT41 is de naam die is toegewezen aan een productieve Hacking-groep van Chinese natiestaten die bekend staat om het richten van organisaties die meerdere sectoren omvatten, waaronder telecom- en energieleveranciers, onderwijsinstellingen, zorgorganisaties en IT-energiebedrijven in meer dan drie dozijn landen.
Wat de campagne opmerkelijk maakt, is de focus op Afrika, die, zoals de Russische cybersecurity -verkoper opmerkte, “de minste activiteit had meegemaakt” van deze specifieke dreigingsacteur. Dat gezegd hebbende, de bevindingen in lijn met eerdere observaties van Trend Micro die het continent sinds eind 2022 in zijn vizier bevindt.
Kaspersky zei dat het een onderzoek begon nadat het “verdachte activiteit” had gevonden op meerdere werkstations die verband hielden met de IT -infrastructuur van een niet nader genoemde organisatie waarbij de aanvallers opdrachten betrokken waren om de beschikbaarheid van hun C2 -server vast te stellen, direct of via een interne proxy -server binnen de gecompromitteerde entiteit.
“De bron van de verdachte activiteit bleek een niet -geconstateerde gastheer te zijn die was aangetast,” merkten de onderzoekers op. “Impacket werd erop uitgevoerd in de context van een servicecount.
Kort daarna zouden de aanvallers de inloggegevens hebben geoogst in verband met bevoorrechte rekeningen om de escalatie van privileges en laterale beweging te vergemakkelijken, waardoor de kobaltstaking uiteindelijk wordt ingezet voor C2-communicatie met behulp van DLL-side-loading.
De kwaadaardige DLL’s bevatten een cheque om de taalpakketten op de gastheer te verifiëren en alleen door te gaan met de uitvoering als de volgende taalpakketten niet worden gedetecteerd: Japans, Koreaans (Zuid -Korea), Chinees (vasteland China) en Chinees (Taiwan).
De aanval wordt ook gekenmerkt door het gebruik van een gehackte SharePoint-server voor C2-doeleinden, met behulp van opdrachten die worden uitgevoerd door een op C#gebaseerde malware geüpload naar de slachtofferhosts.
“Ze distribueerden bestanden met de naam Agents.exe en AgentX.Exe via het SMB -protocol om met de server te communiceren,” legde Kaspersky uit. “Elk van deze bestanden is eigenlijk een C# Trojan wiens primaire functie is om opdrachten uit te voeren die het ontvangt van een web shell genaamd CommandHandler.aspx, die is geïnstalleerd op de SharePoint -server.”
Deze methode combineert traditionele malware-implementatie met Living-off-the-Land-tactieken, waarbij vertrouwde diensten zoals SharePoint worden omgezet in geheime controlekanalen. Dit gedrag komt overeen met technieken gecategoriseerd onder MITER ATT & CK, inclusief T1071.001 (webprotocollen) en T1047 (WMI), waardoor ze moeilijk te detecteren zijn met behulp van handtekening-gebaseerde tools alleen.
Bovendien zijn de dreigingsacteurs gezien die vervolgactiviteiten uitvoeren op machines die waardevolle na de eerste verkenning worden geacht. Dit wordt bereikt door een opdracht cmd.exe uit te voeren om te downloaden van een externe bron een Malicious HTML -applicatie (HTA) -bestand met ingesloten JavaScript en het uitvoeren met mshta.exe.
De exacte aard van de lading geleverd via de externe URL, een domein dat zich voordoet als GitHub (“github.githubassets (.) Net”) om detectie te ontwijken, is momenteel onbekend. Uit een analyse van een van de eerder gedistribueerde scripts blijkt echter dat deze is ontworpen om een omgekeerde schaal te spawnen, waardoor de aanvallers de mogelijkheid geven om commando’s op het geïnfecteerde systeem uit te voeren.
Ook in gebruik worden genomen bij de aanvallen zijn stealers en hulpprogramma’s voor de duidelijkheid om gevoelige gegevens te verzamelen en de details via de SharePoint-server te exfiltreren. Sommige van de door de tegenstander geïmplementeerde tools worden hieronder vermeld –
- Pillager, zij het een gewijzigde versie, om referenties te stelen van browsers, databases en administratieve hulpprogramma’s zoals MobaxTerm; broncode; screenshots; chat -sessies en gegevens; e -mailberichten; SSH- en FTP -sessies; Lijst met geïnstalleerde apps; Uitvoer van de opdrachten SystemInfo en Tasklist; en accountinformatie van chat -apps en e -mailclients
- Bekijk om informatie te stelen over gedownloade bestanden en creditcardgegevens die zijn opgeslagen in webbrowsers zoals Yandex, Opera, Operagx, Vivaldi, Google Chrome, Brave en CốC CốC.
- Rawcopy om RAW -registerbestanden te kopiëren
- Mimikatz om accountreferenties te dumpen
“De aanvallers hanteren een breed scala aan zowel op maat gemaakte als openbaar beschikbare tools,” zei Kaspersky. “In het bijzonder gebruiken ze penetratietesthulpmiddelen zoals kobaltstaking in verschillende stadia van een aanval.”
“De aanvallers zijn zich snel aan te passen aan de infrastructuur van hun doel, waarbij ze hun kwaadaardige tools bijwerken om rekening te houden met specifieke kenmerken. Ze kunnen zelfs gebruik maken van interne services voor C2 -communicatie en data -exfiltratie.”
Deze operatie benadrukt ook de wazige lijn tussen Red Team Tools en real-world tegenstandersimulatie, waarbij dreigingsacteurs openbare kaders gebruiken, zoals Impacket, Mimikatz en Cobalt Strike naast aangepaste implantaten. Deze overlappingen vormen uitdagingen voor detectieteams gericht op zijbeweging, toegang tot inloggegevens en verdedigingsontduiking in Windows -omgevingen.
