Een vermoedelijke Chinese dreigingsactoren richtte zich eerder dit jaar op een grote Amerikaanse organisatie als onderdeel van een vier maanden durende inbraak.
Volgens Symantec, eigendom van Broadcom, werd het eerste bewijs van de kwaadaardige activiteit ontdekt op 11 april 2024 en duurde het tot augustus. Het bedrijf sluit echter niet uit dat de inbraak eerder heeft plaatsgevonden.
“De aanvallers bewogen zich lateraal over het netwerk van de organisatie en brachten meerdere computers in gevaar”, zei het Symantec Threat Hunter Team in een rapport gedeeld met The Hacker News.
“Sommige van de machines die het doelwit waren, waren Exchange-servers, wat erop wijst dat de aanvallers informatie verzamelden door e-mails te verzamelen. Er werden ook exfiltratietools ingezet, wat erop wijst dat gerichte gegevens van de organisaties werden afgenomen.”
De naam van de organisatie die werd getroffen door de aanhoudende aanvalscampagne werd niet bekendgemaakt, maar merkte op dat het slachtoffer een aanzienlijke aanwezigheid heeft in China.
De banden met China als de potentiële boosdoener vloeien voort uit het gebruik van DLL-sideloading, wat een voorkeurstactiek is onder verschillende Chinese dreigingsgroepen, en de aanwezigheid van artefacten waarvan eerder werd vastgesteld dat ze werden gebruikt in verband met een door de staat gesponsorde operatie met de codenaam Crimson Palace.
Een ander interessant punt is dat de organisatie in 2023 het doelwit was van een aanvaller met voorlopige banden met een andere in China gevestigde hackploeg genaamd Daggerfly, ook wel Bronze Highland, Evasive Panda en StormBamboo genoemd.
Naast het gebruik van DLL side-loading om kwaadaardige payloads uit te voeren, omvat de aanval het gebruik van open-source tools zoals FileZilla, Impacket en PSCP, terwijl ook living-off-the-land (LotL) programma’s zoals Windows Management Instrumentation (WMI) worden gebruikt. , PsExec en PowerShell.
Het exacte initiële toegangsmechanisme dat wordt gebruikt om het netwerk te doorbreken, is in dit stadium nog onbekend. Dat gezegd hebbende, is uit de analyse van Symantec gebleken dat de machine waarop de eerste tekenen van compromittering werden gedetecteerd een opdracht bevatte die via WMI werd uitgevoerd vanaf een ander systeem op het netwerk.
“Het feit dat de opdracht afkomstig was van een andere machine op het netwerk suggereert dat de aanvallers al minstens één andere machine op het netwerk van de organisatie hadden gecompromitteerd en dat de inbraak mogelijk vóór 11 april was begonnen”, aldus het bedrijf.
Enkele van de andere kwaadaardige activiteiten die vervolgens door de aanvallers werden uitgevoerd, varieerden van diefstal van inloggegevens en het uitvoeren van kwaadaardige DLL-bestanden tot het aanvallen van Microsoft Exchange-servers en het downloaden van tools zoals FileZilla, PSCP en WinRAR.
“Eén groep waarin de aanvallers vooral geïnteresseerd waren, zijn ‘Exchange-servers’, wat suggereert dat de aanvallers zich probeerden te richten op mailservers om e-mailgegevens te verzamelen en mogelijk te exfiltreren”, aldus Symantec.
De ontwikkeling komt op het moment dat Orange Cyberdefense de private en publieke relaties binnen het Chinese cyberoffensieve ecosysteem gedetailleerd heeft beschreven, terwijl ook de rol wordt benadrukt die universiteiten spelen op het gebied van veiligheidsonderzoek en hack-for-hire-contractanten voor het uitvoeren van aanvallen onder leiding van staatsentiteiten.
“In veel gevallen registreren individuen die banden hebben met eenheden van het Ministerie van Staatsveiligheid of het Volksbevrijdingsleger nepbedrijven om de toeschrijving van hun campagnes aan de Chinese staat te verdoezelen”, aldus het rapport.
“Deze nepbedrijven, die zich niet bezighouden met echte winstgedreven activiteiten, kunnen helpen bij het aanschaffen van de digitale infrastructuur die nodig is voor het uitvoeren van cyberaanvallen zonder ongewenste aandacht te trekken. Ze dienen ook als front voor het werven van personeel voor functies die hackoperaties ondersteunen.”
