De aan China gelieerde bedreigingsacteur, bekend als Sharp Panda, heeft zijn doelwitten uitgebreid naar overheidsorganisaties in Afrika en het Caribisch gebied als onderdeel van een voortdurende cyberspionagecampagne.
“De campagne gebruikt Cobalt Strike Beacon als payload, waardoor backdoor-functionaliteiten zoals C2-communicatie en commando-uitvoering mogelijk worden gemaakt, terwijl de blootstelling van hun aangepaste tools wordt geminimaliseerd”, aldus Check Point in een rapport gedeeld met The Hacker News. “Deze verfijnde aanpak suggereert een dieper begrip van hun doelstellingen.”
Het Israëlische cyberbeveiligingsbedrijf volgt de activiteit onder een nieuwe naam Scherpe draakwaarbij de tegenstander wordt beschreven als zorgvuldig in zijn doelwitten, terwijl hij tegelijkertijd zijn verkenningsinspanningen verbreedt.
De tegenstander kwam voor het eerst aan het licht in juni 2021, toen werd ontdekt dat hij zich richtte op een Zuidoost-Aziatische regering om een achterdeur op Windows-systemen in te zetten, genaamd VictoryDLL.
Daaropvolgende aanvallen van Sharp Dragon hebben hun zinnen gezet op spraakmakende overheidsinstanties in Zuidoost-Azië om het modulaire malware-framework van Soul te leveren, dat vervolgens wordt gebruikt om extra componenten te ontvangen van een door een actor bestuurde server om het verzamelen van informatie te vergemakkelijken.
Er zijn aanwijzingen dat er sinds oktober 2017 aan de Soul-achterdeur wordt gewerkt, waarbij functies zijn overgenomen van Gh0st RAT – malware die vaak wordt geassocieerd met een breed scala aan Chinese bedreigingsactoren – en andere publiek beschikbare tools.
Een andere reeks aanvallen die aan de dreigingsactoren worden toegeschreven, waren recentelijk in juni 2023 gericht tegen hoge overheidsfunctionarissen uit de G20-landen, wat erop wijst dat de aandacht blijft uitgaan naar overheidsinstanties voor het verzamelen van informatie.
De sleutel tot de activiteiten van Sharp Panda is het misbruiken van ééndaagse beveiligingsfouten (bijv. CVE-2023-0669) om de infrastructuur te infiltreren voor later gebruik als command-and-control (C2)-servers. Een ander opmerkelijk aspect is het gebruik van het legitieme simulatieframework Cobalt Strike voor aangepaste achterdeuren.
Bovendien demonstreert de nieuwste reeks aanvallen gericht op regeringen in Afrika en het Caribisch gebied een uitbreiding van hun oorspronkelijke aanvalsdoelen, waarbij de modus operandi bestaat uit het gebruik van gecompromitteerde spraakmakende e-mailaccounts in Zuidoost-Azië om phishing-e-mails te verzenden om nieuwe doelwitten te infecteren. de twee regio's.
Deze berichten bevatten kwaadaardige bijlagen die gebruik maken van de Royal Road Rich Text Format (RTF) bewapening om een downloader genaamd 5.t te droppen die verantwoordelijk is voor het uitvoeren van verkenningen en het lanceren van Cobalt Strike Beacon, waardoor de aanvallers informatie kunnen verzamelen over de doelomgeving.
Het gebruik van Cobalt Strike als achterdeur minimaliseert niet alleen de blootstelling van op maat gemaakte tools, maar suggereert ook een “verfijnde benadering van doelbeoordeling”, voegde Check Point eraan toe.
Als teken dat de bedreigingsacteur voortdurend zijn tactiek verfijnt, zijn recente aanvalsreeksen waargenomen waarbij uitvoerbare bestanden werden gebruikt die vermomd waren als documenten om de infectie op gang te brengen, in plaats van te vertrouwen op een Word-document dat gebruikmaakt van een sjabloon op afstand om een RTF-bestand te downloaden dat is bewapend met Koninklijke weg.
“De strategische expansie van Sharp Dragon richting Afrika en het Caribisch gebied betekent een bredere inspanning van Chinese cyberactoren om hun aanwezigheid en invloed in deze regio’s te vergroten.”
De bevindingen komen op dezelfde dag dat Palo Alto Networks details onthulde van een campagne met de codenaam Operation Diplomatic Spectre, die zich sinds minstens eind 2022 richt op diplomatieke missies en regeringen in het Midden-Oosten, Afrika en Azië. De aanvallen zijn in verband gebracht met een Chinese dreiging. acteur genaamd TGR-STA-0043 (voorheen CL-STA-0043).
De aanhoudende strategische indringers door Chinese dreigingsactoren in Afrika tegen belangrijke industriële sectoren, zoals aanbieders van telecomdiensten, financiële instellingen en overheidsinstanties, sluiten aan bij de technologische agenda van het land in de regio en sluiten aan bij het Digital Silk Road (DSR)-project dat in 2013 werd aangekondigd. 2015.
“Deze aanvallen sluiten duidelijk aan bij China’s bredere zachte machts- en technologische agenda in de regio, waarbij de nadruk ligt op kritieke gebieden zoals de telecommunicatiesector, financiële instellingen en overheidsinstanties”, merkte SentinelOne-veiligheidsonderzoeker Tom Hegel eerder op in september 2023.
De ontwikkeling volgt ook op een rapport van Mandiant, eigendom van Google, waarin de nadruk werd gelegd op het Chinese gebruik van proxynetwerken, ook wel operationele relay box-netwerken (ORB's) genoemd, om hun oorsprong te verdoezelen bij het uitvoeren van spionageoperaties en om hogere succespercentages te behalen bij het verkrijgen en behouden van toegang tot hoogwaardige netwerken. waardenetwerken.
“Het bouwen van netwerken van gecompromitteerde apparaten stelt ORB-netwerkbeheerders in staat om eenvoudig en met weinig moeite de omvang van hun ORB-netwerk te vergroten en een voortdurend evoluerend mesh-netwerk te creëren dat kan worden gebruikt om spionageoperaties te verbergen”, aldus Mandiant-onderzoeker Michael Raggi.
Eén zo'n netwerk ORB3 (ook bekend als SPACEHOP) zou zijn gebruikt door meerdere Chinese nexus-bedreigingsactoren, waaronder APT5 en APT15, terwijl een ander netwerk met de naam FLORAHOX – dat apparaten omvat die zijn gerekruteerd door het routerimplantaat FLOWERWATER – door APT31 in gebruik is genomen. .
“Het gebruik van ORB-netwerken om verkeer in een gecompromitteerd netwerk te proxyen is geen nieuwe tactiek, en ook niet uniek voor cyberspionageactoren uit China”, aldus Raggi. “We hebben de cyberspionage tussen China en het Nexus-gebied gevolgd met behulp van deze tactieken als onderdeel van een bredere evolutie naar meer doelgerichte, heimelijke en effectieve operaties.”
