Naamloze overheidsinstanties in het Midden-Oosten en Maleisië zijn sinds juni 2023 het doelwit van een aanhoudende cybercampagne die wordt georkestreerd door een kwaadwillende actor die bekendstaat als Tropic Trooper.
“Het onder de aandacht brengen van de tactieken, technieken en procedures van deze groep bij belangrijke overheidsinstellingen in het Midden-Oosten, met name die welke verband houden met studies naar mensenrechten, markeert een nieuwe strategische zet voor hen”, aldus Sherif Magdy, beveiligingsonderzoeker bij Kaspersky.
De Russische leverancier van cyberbeveiliging zei dat het de activiteit in juni 2024 ontdekte toen het een nieuwe versie van de China Chopper web Shell ontdekte, een tool die door veel Chineestalige cybercriminelen wordt gedeeld voor externe toegang tot gecompromitteerde servers, op een openbare webserver waarop een open-source contentmanagementsysteem (CMS) met de naam Umbraco wordt gehost.
De aanvalsketen is ontworpen om een malware-implantaat genaamd Crowdoor te installeren, een variant van de SparrowDoor-backdoor die ESET al in september 2021 documenteerde. De pogingen waren uiteindelijk niet succesvol.
Tropic Trooper, ook bekend onder de namen APT23, Earth Centaur, KeyBoy en Pirate Panda, staat bekend om zijn targeting van de overheid, gezondheidszorg, transport en hightechindustrieën in Taiwan, Hong Kong en de Filipijnen. Het Chinees sprekende collectief is sinds 2011 actief en heeft nauwe banden met een andere intrusieset die wordt gevolgd als FamousSparrow.
De laatste inbraak die Kaspersky aan het licht bracht, is van belang voor het compileren van de China Chopper-webshell als een .NET-module van Umbraco CMS, met daaropvolgende exploitatie die leidt tot de inzet van tools voor netwerkscanning, laterale verplaatsing en verdedigingsontwijking, voordat Crowdoor wordt gelanceerd met behulp van DLL-sideloadingtechnieken.
Het vermoeden bestaat dat de webshells worden verspreid door misbruik te maken van bekende beveiligingslekken in openbaar toegankelijke webapplicaties, zoals Adobe ColdFusion (CVE-2023-26360) en Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207).
Crowdoor, voor het eerst waargenomen in juni 2023, fungeert ook als een loader om Cobalt Strike te droppen en persistentie te behouden op de geïnfecteerde hosts. Tegelijkertijd fungeert het als een backdoor om gevoelige informatie te verzamelen, een reverse shell te starten, andere malwarebestanden te wissen en zichzelf te beëindigen.
“Toen de acteur zich realiseerde dat zijn backdoors waren gedetecteerd, probeerde hij nieuwere samples te uploaden om detectie te omzeilen. Daarmee werd het risico vergroot dat zijn nieuwe set samples in de nabije toekomst zou worden gedetecteerd”, aldus Magdy.
“De betekenis van deze inmenging ligt in de waarneming van een Chinees sprekende actor die een contentmanagementplatform targette dat studies publiceerde over mensenrechten in het Midden-Oosten, met specifieke aandacht voor de situatie rond het conflict tussen Israël en Hamas.”
“Uit onze analyse van deze inbraak bleek dat dit hele systeem het enige doelwit was tijdens de aanval. Dit wijst erop dat de aanval doelbewust op deze specifieke inhoud was gericht.”