Chinees sprekende gebruikers zijn het doelwit van een ‘zeer goed georganiseerde en geavanceerde aanval’-campagne die waarschijnlijk gebruikmaakt van phishing-e-mails om Windows-systemen te infecteren met Cobalt Strike-payloads.
“De aanvallers slaagden erin om lateraal te bewegen, persistentie te creëren en meer dan twee weken onopgemerkt in de systemen te blijven”, aldus Securonix-onderzoekers Den Iuzvyk en Tim Peck in een nieuw rapport.
De geheime campagne, codenaam LANGZAAM#TEMPEST en niet aan een bekende bedreigingsactor kan worden toegeschreven, begint met schadelijke ZIP-bestanden die, wanneer ze worden uitgepakt, de infectieketen activeren, wat leidt tot de implementatie van de post-exploitatietoolkit op gecompromitteerde systemen.
Aanwezig bij het ZIP-archief is een Windows-snelkoppelingsbestand (LNK) dat zichzelf vermomt als een Microsoft Word-bestand, “违规远程控制软件人员名单.docx.lnk”, wat zich ruwweg vertaalt naar “Lijst van mensen die de regels voor software voor afstandsbediening hebben overtreden .”
“Gezien de taal die in de lokbestanden wordt gebruikt, is het waarschijnlijk dat specifieke Chinese bedrijfs- of overheidssectoren het doelwit zouden kunnen zijn, aangezien zij beide personen in dienst hebben die zich houden aan de ‘regelgeving voor software voor afstandsbediening'”, benadrukten de onderzoekers.
Het LNK-bestand fungeert als een kanaal om een legitiem Microsoft-binair bestand (“LicensingUI.exe”) te starten dat DLL-sideloading gebruikt om een rogue DLL (“dui70.dll”) uit te voeren. Beide bestanden maken deel uit van het ZIP-archief in een directory met de naam “其他信息.__MACOS__._MACOS___MACOSX_MACOS_.” De aanval markeert de eerste keer dat DLL-sideloading via LicensingUI.exe is gemeld.
Het DLL-bestand is een Cobalt Strike-implantaat dat permanente en stiekeme toegang tot de geïnfecteerde host mogelijk maakt, terwijl contact wordt gemaakt met een externe server (“123.207.74(.)22”).
De aanvallers zouden dankzij de toegang op afstand een reeks praktische activiteiten hebben kunnen uitvoeren, waaronder het inzetten van extra payloads voor verkenning en het opzetten van proxyverbindingen.
De infectieketen staat ook bekend om het instellen van een geplande taak om periodiek een schadelijk uitvoerbaar bestand met de naam ‘lld.exe’ uit te voeren. Dit bestand kan willekeurige shellcode rechtstreeks in het geheugen uitvoeren, waardoor er minimale sporen op de schijf achterblijven.
“De aanvallers konden zich bovendien verbergen in gecompromitteerde systemen door handmatig de rechten van het ingebouwde gastgebruikersaccount te verhogen”, aldus de onderzoekers.
“Dit account, doorgaans uitgeschakeld en minimaal geprivilegieerd, werd getransformeerd tot een krachtig toegangspunt door het toe te voegen aan de kritieke beheersgroep en het een nieuw wachtwoord toe te wijzen. Deze backdoor stelt hen in staat om toegang tot het systeem te behouden met minimale detectie, aangezien het gastaccount vaak niet zo nauwlettend wordt gecontroleerd als andere gebruikersaccounts.”
De onbekende bedreigingsactor bewoog vervolgens lateraal door het netwerk met behulp van Remote Desktop Protocol (RDP) en de inloggegevens die hij verkreeg via de Mimikatz-tool voor wachtwoordextractie. Vervolgens zette hij vanaf elk van die machines externe verbindingen op met zijn command-and-control (C2)-server.
De post-exploitatiefase wordt verder gekenmerkt door de uitvoering van verschillende opsommingsopdrachten en het gebruik van de BloodHound-tool voor Active Directory (AD)-verkenning. De resultaten hiervan worden vervolgens geëxfiltreerd in de vorm van een ZIP-archief.
De connecties met China worden versterkt door het feit dat alle C2-servers in China worden gehost door Shenzhen Tencent Computer Systems Company Limited. Bovendien is een meerderheid van de artefacten die met de campagne te maken hebben afkomstig uit China.
“Hoewel er geen concreet bewijs is dat deze aanval aan een bekende APT-groep is gelinkt, is de aanval waarschijnlijk georkestreerd door een ervaren cybercrimineel die ervaring heeft met geavanceerde exploitatieframeworks zoals Cobalt Strike en een breed scala aan andere post-exploitatietools”, concluderen de onderzoekers.
“De complexiteit van de campagne blijkt uit de methodische aanpak van het eerste compromis, het volharden, het vergroten van privileges en de laterale beweging binnen het netwerk.”