Een aan China gelieerde natiestaatgroep genaamd TAG-112 heeft Tibetaanse media en universiteitswebsites gecompromitteerd in een nieuwe cyberspionagecampagne, ontworpen om de levering van de Cobalt Strike post-exploitatie toolkit voor vervolgverzameling van informatie te vergemakkelijken.
“De aanvallers hebben kwaadaardig JavaScript in deze sites ingebouwd, waardoor een TLS-certificaatfout werd vervalst om bezoekers te misleiden zodat ze een vermomd beveiligingscertificaat downloadden”, aldus de Insikt Group van Recorded Future.
“Deze malware, die vaak door bedreigingsactoren wordt gebruikt voor toegang op afstand en post-exploitatie, benadrukt een voortdurende focus op cyberspionage op Tibetaanse entiteiten.”
De compromissen zijn vastgelegd op een door de staat gesponsorde dreigingsgroep genaamd TAG-112, die is beschreven als een mogelijke subgroep van een andere cluster die wordt gevolgd als Evasive Panda (ook bekend als Bronze Highland, Daggerfly, StormBamboo en TAG-102). tactische overlappingen en hun historische doelwitten van Tibetaanse entiteiten.
De twee Tibetaanse gemeenschapswebsites die eind mei 2024 door het vijandige collectief werden geschonden, waren Tibet Post (tibetpost(.)net) en Gyudmed Tantric University (gyudmedtantricuniversity(.)org).
Concreet is gebleken dat de besmette websites werden gemanipuleerd om bezoekers van de sites ertoe aan te zetten een kwaadaardig uitvoerbaar bestand te downloaden, vermomd als een “beveiligingscertificaat”, dat bij uitvoering een Cobalt Strike-lading laadde.
Het JavaScript dat dit mogelijk maakte, zou zijn geüpload naar de sites die waarschijnlijk gebruik maakten van een beveiligingsprobleem in hun contentmanagementsysteem, Joomla.
“Het kwaadaardige JavaScript wordt geactiveerd door de window.onload-gebeurtenis”, aldus Recorded Future. “Het controleert eerst het besturingssysteem en het type webbrowser van de gebruiker; dit filtert waarschijnlijk niet-Windows-besturingssystemen eruit, omdat deze functie het script zal beëindigen als Windows niet wordt gedetecteerd.”
De browserinformatie (dwz Google Chrome of Microsoft Edge) wordt vervolgens naar een externe server (update.maskrisks(.)com) gestuurd, die een HTML-sjabloon terugstuurt dat een aangepaste versie is van de TLS-certificaatfoutpagina van de betreffende browser, die gewoonlijk wordt weergegeven wanneer er een probleem is met het TLS-certificaat van de host.
JavaScript start, naast het weergeven van de valse beveiligingscertificaatwaarschuwing, automatisch het downloaden van een zogenaamd beveiligingscertificaat voor het domein *.dnspod(.)cn, maar is in werkelijkheid een legitiem ondertekend uitvoerbaar bestand dat een Cobalt Strike Beacon-payload sideload met behulp van DLL zijbelading.
Het is de moeite waard om er in dit stadium op te wijzen dat de website van Tibet Post afzonderlijk werd geïnfiltreerd door de Evasive Panda-acteur in verband met een drinkplaats en supply chain-aanval gericht op Tibetaanse gebruikers, tenminste sinds september 2023. De aanvallen leidden tot de inzet van achterdeurtjes die bekend staan als MgBot en Nightdoor, onthulde ESET eerder dit maart.
Ondanks dit belangrijke tactische kruispunt zei Recorded Future dat het de twee inbraaksets ongelijksoortig houdt vanwege het “verschil in volwassenheid” tussen hen.
“De activiteit die door TAG-112 wordt waargenomen, mist de verfijning die door TAG-102 wordt gezien”, aldus het rapport. “TAG-112 maakt bijvoorbeeld geen gebruik van JavaScript-verduistering en maakt gebruik van Cobalt Strike, terwijl TAG-102 aangepaste malware gebruikt. TAG-112 is waarschijnlijk een subgroep van TAG-102, die werkt aan dezelfde of vergelijkbare intelligentievereisten.”