Een vermoedelijke in China gevestigde bedreigingsacteur wordt sinds oktober 2023 in verband gebracht met een reeks cyberaanvallen gericht op spraakmakende organisaties in Zuidoost-Azië.
De spionagecampagne was gericht op organisaties in verschillende sectoren, waaronder ministeries in twee verschillende landen, een luchtverkeersleidingsorganisatie, een telecombedrijf en een mediabedrijf, aldus het Symantec Threat Hunter Team in een nieuw rapport gedeeld met The Hacker News.
De aanvallen, waarbij gebruik werd gemaakt van instrumenten waarvan eerder werd vastgesteld dat ze verband hielden met in China gevestigde Advanced Persistent Threat (APT)-groepen, worden gekenmerkt door het gebruik van zowel open-source als Living-off-the-land (LotL)-technieken.
Dit omvat het gebruik van reverse proxy-programma’s zoals Rakshasa en Stowaway, evenals tools voor het ontdekken en identificeren van activa, keyloggers en wachtwoordstelers. Tijdens de aanvallen wordt ook PlugX (ook bekend als Korplug) ingezet, een trojan voor externe toegang die door verschillende Chinese hackgroepen wordt gebruikt.
“De bedreigingsactoren installeren ook aangepaste DLL-bestanden die fungeren als filters voor authenticatiemechanismen, waardoor ze inloggegevens kunnen onderscheppen”, schreef Symantec. Het bedrijf, eigendom van Broadcom, vertelde The Hacker News dat het bij geen van de aanvallen de initiële infectievector kon vaststellen.
Bij een van de aanvallen gericht op een entiteit die tussen juni en augustus 2024 drie maanden duurde, voerde de tegenstander verkennings- en wachtwoorddumpingactiviteiten uit, terwijl hij ook een keylogger installeerde en DLL-payloads uitvoerde die inloggegevens van gebruikers konden vastleggen.
Symantec merkte op dat de aanvallers erin slaagden gedurende langere tijd geheime toegang tot gecompromitteerde netwerken te behouden, waardoor ze wachtwoorden konden verzamelen en interessante netwerken in kaart konden brengen. De verzamelde informatie werd met behulp van WinRAR gecomprimeerd in met een wachtwoord beveiligde archieven en vervolgens geüpload naar cloudopslagdiensten zoals File.io.
“Deze langere verblijftijd en berekende aanpak onderstrepen de verfijning en volharding van de bedreigingsactoren”, aldus het bedrijf. “De geografische locatie van de beoogde organisaties, evenals het gebruik van instrumenten die eerder gekoppeld waren aan in China gevestigde APT-groepen, suggereert dat deze activiteit het werk is van in China gevestigde actoren.”
Het is vermeldenswaard dat de ambiguïteit bij het toeschrijven van deze aanvallen aan een specifieke Chinese dreigingsactoren de moeilijkheid onderstreept om cyberspionagegroepen te volgen wanneer ze vaak tools delen en vergelijkbare ambachten gebruiken.
De geopolitieke spanningen in Zuidoost-Azië over aanhoudende territoriale geschillen in de Zuid-Chinese Zee zijn aangevuld met een reeks cyberaanvallen gericht op de regio, zoals blijkt uit groepen met dreigingsactiviteiten die worden gevolgd als Unfading Sea Haze, Mustang Panda, CeranaKeeper en Operation Crimson Palace.
De ontwikkeling komt een dag nadat SentinelOne SentinelLabs en Tinexta Cyber aanvallen hebben onthuld die zijn ondernomen door een cyberspionagegroep uit China die zich richt op grote business-to-business IT-dienstverleners in Zuid-Europa als onderdeel van een activiteitencluster genaamd Operation Digital Eye.
Vorige week onthulde Symantec ook dat een niet bij naam genoemde grote Amerikaanse organisatie tussen april en augustus 2024 werd gehackt door waarschijnlijke Chinese bedreigingsactoren, gedurende welke tijd ze zich lateraal over het netwerk bewogen, waarbij ze meerdere computers in gevaar brachten en mogelijk gegevens exfiltreerden.