Cybersecurity-onderzoekers hebben details bekendgemaakt van een voorheen ongedocumenteerde dreigingsgroep genaamd Onvervagende zeenevel waarvan wordt aangenomen dat deze sinds 2018 actief is.
Door de inbraak werden organisaties op hoog niveau in de Zuid-Chinese Zeelanden uitgekozen, met name militaire en overheidsdoelen, aldus Bitdefender in een rapport gedeeld met The Hacker News.
“Het onderzoek bracht een verontrustende trend aan het licht die verder gaat dan de historische context”, zegt Martin Zugec, directeur technische oplossingen bij Bitdefender, en voegt eraan toe dat het tot nu toe in totaal acht slachtoffers heeft geïdentificeerd.
“Met name hebben de aanvallers herhaaldelijk toegang gekregen tot gecompromitteerde systemen. Deze uitbuiting benadrukt een kritieke kwetsbaarheid: slechte identificatiehygiëne en ontoereikende patchpraktijken op blootgestelde apparaten en webservices.”
Er zijn enkele aanwijzingen dat de dreigingsactor achter de aanvallen opereert met doelen die in lijn zijn met de Chinese belangen, ondanks het feit dat de aanvalssignaturen niet overlappen met die van een bekende hackploeg.
Dit geldt ook voor de slachtofferrol, waarbij landen als de Filippijnen en andere organisaties in de Stille Zuidzee eerder het doelwit waren van de aan China gelieerde Mustang Panda-acteur.
Bij de aanvallen worden ook verschillende versies van de Gh0st RAT-malware gebruikt, een commodity-trojan waarvan bekend is dat deze wordt gebruikt door Chineessprekende bedreigingsactoren.
“Eén specifieke techniek die door Unfading Sea Haze werd gebruikt – het uitvoeren van JScript-code via een tool genaamd SharpJSHandler – leek op een functie in de ' FunnySwitch'-achterdeur, die is gekoppeld aan APT41”, aldus Bitdefender. “Beide omvatten het laden van .NET-assemblies en het uitvoeren van JScript-code. Dit was echter een geïsoleerde overeenkomst.”
Het exacte initiële toegangspad dat wordt gebruikt om de doelen te infiltreren is momenteel bekend, hoewel, in een interessante wending, is waargenomen dat Unfading Sea Haze weer toegang heeft gekregen tot dezelfde entiteiten via spearphishing-e-mails met boobytraps-archieven.
Deze archiefbestanden zijn voorzien van Windows-snelkoppelingsbestanden (LNK) die, wanneer ze worden gestart, het infectieproces in gang zetten door een opdracht uit te voeren die is ontworpen om de volgende fase van de payload van een externe server op te halen. Deze payload is een achterdeur genaamd SerialPktdoor die is ontworpen om PowerShell-scripts uit te voeren, regisseurs op te sommen, bestanden te downloaden/uploaden en bestanden te verwijderen.
Bovendien maakt de opdracht gebruik van de Microsoft Build Engine (MSBuild) om bestandloos een bestand uit te voeren dat zich op een externe locatie bevindt, waardoor er geen sporen achterblijven op de slachtofferhost en de kans op detectie wordt verkleind.
De aanvalsketens worden gekenmerkt door het gebruik van geplande taken als een manier om persistentie tot stand te brengen, waarbij de taaknamen legitieme Windows-bestanden nabootsen die worden gebruikt om een onschadelijk uitvoerbaar bestand uit te voeren dat vatbaar is voor side-loading van DLL om een kwaadaardige DLL te laden.
“Naast het gebruik van geplande taken, gebruikte de aanvaller nog een andere persistentietechniek: het manipuleren van lokale beheerdersaccounts”, aldus het Roemeense cyberbeveiligingsbedrijf. “Dit betrof pogingen om het uitgeschakelde lokale beheerdersaccount in te schakelen, gevolgd door het opnieuw instellen van het wachtwoord.”
Het is bekend dat Unfading Sea Haze in ieder geval sinds september 2022 commercieel verkrijgbare Remote Monitoring and Management (RMM)-tools zoals ITarian RMM gebruikt om voet aan de grond te krijgen op slachtoffernetwerken, een tactiek die niet vaak wordt waargenomen onder nationale actoren, met uitzondering van de Iraanse MuddyWater-groep. .
De verfijning van de tegenstander blijkt uit een grote verscheidenheid aan aangepaste tools in zijn arsenaal, waaronder varianten van Gh0st RAT zoals SilentGh0st en zijn evolutionaire opvolger InsidiousGh0st (die verkrijgbaar is in C++-, C#- en Go-versies), TranslucentGh0st, FluffyGh0st en EtherealGh0st. waarvan de laatste drie modulair zijn en een op plug-ins gebaseerde aanpak hanteren.
Ook wordt een lader gebruikt die bekend staat als Ps2dllLoader en die de Antimalware Scan Interface (AMSI) kan omzeilen en fungeert als kanaal voor het leveren van SharpJSHandler, die werkt door te luisteren naar HTTP-verzoeken en de gecodeerde JavaScript-code uitvoert met behulp van de Microsoft.JScript-bibliotheek.
Bitdefender zei dat het nog twee smaken van SharpJSHandler heeft ontdekt die in staat zijn een payload op te halen en uit te voeren van cloudopslagdiensten zoals Dropbox en Microsoft OneDrive, en de resultaten terug naar dezelfde locatie te exporteren.
Ps2dllLoader bevat ook een andere achterdeur met de codenaam Stubbedoor die verantwoordelijk is voor het starten van een gecodeerde .NET-assembly die wordt ontvangen van een command-and-control (C2)-server.
Andere artefacten die in de loop van de aanvallen zijn ingezet, zijn onder meer een keylogger genaamd xkeylog, een gegevensdief in een webbrowser, een tool om de aanwezigheid van draagbare apparaten te controleren en een aangepast data-exfiltratieprogramma genaamd DustyExfilTool dat tussen maart 2018 en januari 2022 in gebruik werd genomen. .
Dat is niet alles. Onder het complexe arsenaal aan kwaadaardige agenten en tools die door Unfading Sea Haze worden gebruikt, bevindt zich een derde achterdeur, SharpZulip genaamd, die de Zulip-berichtenservice-API gebruikt om opdrachten voor uitvoering op te halen uit een stream genaamd “NDFUIBNFWDNSA”. In Zulip zijn streams (nu kanalen genoemd) analoog aan kanalen in Discord en Slack.
Er zijn aanwijzingen dat de data-exfiltratie handmatig door de bedreigingsacteur wordt uitgevoerd om interessante informatie vast te leggen, waaronder gegevens uit berichtentoepassingen zoals Telegram en Viber, en deze te verpakken in de vorm van een met een wachtwoord beveiligd archief.
“Deze mix van op maat gemaakte en kant-en-klare tools, samen met handmatige gegevensextractie, schetst een beeld van een gerichte spionagecampagne gericht op het verkrijgen van gevoelige informatie uit gecompromitteerde systemen”, aldus Zugec.
“Hun aangepaste malwarearsenaal, waaronder de Gh0st RAT-familie en Ps2dllLoader, toont een focus op flexibiliteit en ontwijkingstechnieken. De waargenomen verschuiving naar modulariteit, dynamische elementen en uitvoering in het geheugen benadrukt hun inspanningen om traditionele beveiligingsmaatregelen te omzeilen.”
