De heimelijke tactieken van de Chinese APT Group blootgelegd

Overheidsinstanties in het Midden-Oosten, Afrika en Azië zijn het doelwit van een Chinese Advanced Persistent Threat (APT)-groep als onderdeel van een voortdurende cyberspionagecampagne genaamd Operatie Diplomatiek Spectre sinds tenminste eind 2022.

“Een analyse van de activiteiten van deze bedreigingsacteur onthult langdurige spionageoperaties tegen ten minste zeven overheidsinstanties”, aldus Palo Alto Networks Unit 42-onderzoekers Lior Rochberger en Daniel Frank in een rapport gedeeld met The Hacker News.

“De bedreigingsacteur heeft op grote schaal inspanningen geleverd om inlichtingen te verzamelen, waarbij gebruik werd gemaakt van zeldzame e-mailexfiltratietechnieken tegen gecompromitteerde servers.”

Het cyberbeveiligingsbedrijf, dat voorheen het activiteitencluster volgde onder de naam CL-STA-0043, zei dat het het overdraagt ​​aan een tijdelijke actorgroep met de codenaam TGR-STA-0043, vanwege zijn oordeel dat de inbraakset het werk is van één enkele actor die opereert. namens Chinese staatsbelangen.

Doelwitten van de aanvallen zijn onder meer diplomatieke en economische missies, ambassades, militaire operaties, politieke bijeenkomsten, ministeries van de beoogde landen en hoge functionarissen.

CL-STA-0043 werd voor het eerst gedocumenteerd in juni 2023 als doelwit voor overheidsinstanties in het Midden-Oosten en Afrika met behulp van zeldzame diefstal van inloggegevens en Exchange-e-mailexfiltratietechnieken.

Een daaropvolgende analyse van Unit 42 eind vorig jaar bracht overlappingen aan het licht tussen CL-STA-0043 en CL-STA-0002 die voortkwamen uit het gebruik van een programma genaamd Ntospy (ook bekend als NPPSpy) voor diefstal van inloggegevens.

Chinese APT-groep

Aanvalsketens die door de groep zijn georkestreerd, omvatten een reeks achterdeurtjes zonder papieren, zoals TunnelSpecter en SweetSpecter, beide varianten van de beruchte Gh0st RAT, een hulpmiddel dat overvloedig wordt gebruikt in spionagecampagnes die worden georkestreerd door hackers van de regering van Peking.

TunnelSpecter dankt zijn naam aan het gebruik van DNS-tunneling voor data-exfiltratie, waardoor het een extra laag stealth krijgt. SweetSpecter daarentegen wordt zo genoemd vanwege de overeenkomsten met SugarGh0st RAT, een andere aangepaste variant van Gh0st RAT die sinds augustus 2023 door een vermoedelijk Chineessprekende bedreigingsacteur wordt gebruikt.

Operatie Diplomatiek Spectre

Dankzij beide achterdeurtjes kan de tegenstander heimelijke toegang behouden tot de netwerken van zijn doelwitten, naast de mogelijkheid om willekeurige opdrachten uit te voeren, gegevens te exfiltreren en verdere malware en tools op de geïnfecteerde hosts te plaatsen.

“De dreigingsactor lijkt de hedendaagse geopolitieke ontwikkelingen nauwlettend in de gaten te houden en probeert dagelijks informatie te exfiltreren”, aldus de onderzoekers.

Dit wordt gerealiseerd door gerichte pogingen om de mailservers van het doelwit te infiltreren en deze te doorzoeken op interessante informatie, waarbij in sommige gevallen herhaaldelijk wordt geprobeerd toegang te krijgen wanneer de activiteiten van de aanvallers worden gedetecteerd en verstoord. De initiële toegang wordt tot stand gebracht door misbruik van bekende Exchange-serverfouten zoals ProxyLogon en ProxyShell.

“De bedreigingsacteur zocht naar bepaalde trefwoorden en exfiltreerde alles wat hij kon vinden dat daarmee verband hield, zoals volledige gearchiveerde inboxen van bepaalde diplomatieke missies of individuen”, merkten de onderzoekers op. “De bedreigingsacteur exfiltreerde ook bestanden die verband hielden met de onderwerpen waarnaar hij zocht.”

De Chinese banden met Operatie Diplomatic Spectre vloeien verder voort uit het gebruik van operationele infrastructuur die uitsluitend wordt gebruikt door Chinese nexusgroepen als APT27, Mustang Panda en Winnti, om nog maar te zwijgen van tools als de China Chopper webshell en PlugX.

“De exfiltratietechnieken die zijn waargenomen als onderdeel van Operatie Diplomatic Spectre bieden een duidelijk inzicht in de mogelijke strategische doelstellingen van de dreigingsactoren achter de aanvallen”, concludeerden de onderzoekers.

“De dreigingsactor zocht naar zeer gevoelige informatie, waaronder details over militaire operaties, diplomatieke missies en ambassades en ministeries van Buitenlandse Zaken.”

Thijs Van der Does