Een voorheen ongedocumenteerd, op China gericht dreigingscluster, genaamd LongNosedGoblin, wordt toegeschreven aan een reeks cyberaanvallen gericht op overheidsinstanties in Zuidoost-Azië en Japan.
Het einddoel van deze aanvallen is cyberspionage, aldus het Slowaakse cyberbeveiligingsbedrijf ESET in een vandaag gepubliceerd rapport. Er wordt geschat dat het dreigingsactiviteitencluster ten minste sinds september 2023 actief is.
“LongNosedGoblin gebruikt groepsbeleid om malware in het getroffen netwerk te implementeren, en cloudservices (bijvoorbeeld Microsoft OneDrive en Google Drive) als command-and-control (C&C)-servers”, aldus beveiligingsonderzoekers Anton Cherepanov en Peter Strýček.
Groepsbeleid is een mechanisme voor het beheren van instellingen en machtigingen op Windows-machines. Volgens Microsoft kan Groepsbeleid worden gebruikt om configuraties voor groepen gebruikers en clientcomputers te definiëren, en om servercomputers te beheren.
De aanvallen worden gekenmerkt door het gebruik van een gevarieerde aangepaste toolset die voornamelijk bestaat uit C#/.NET-applicaties –
- NosyHistorian, om browsergeschiedenis te verzamelen van Google Chrome, Microsoft Edge en Mozilla Firefox
- NosyDoor, een achterdeur die Microsoft OneDrive als C&C gebruikt en opdrachten uitvoert waarmee bestanden kunnen worden geëxfiltreerd, bestanden kunnen worden verwijderd en shell-opdrachten kunnen worden uitgevoerd
- NosyStealer, om browsergegevens van Google Chrome en Microsoft Edge naar Google Drive te exfiltreren in de vorm van een gecodeerd TAR-archief
- NosyDownloader, om een payload in het geheugen te downloaden en uit te voeren, zoals NosyLogger
- NosyLogger, een aangepaste versie van DuckSharp die wordt gebruikt om toetsaanslagen te registreren
ESET zei dat het in februari 2024 voor het eerst activiteit ontdekte die verband hield met de hackgroep op een systeem van een overheidsinstantie in Zuidoost-Azië, en uiteindelijk ontdekte dat Groepsbeleid werd gebruikt om de malware op meerdere systemen van dezelfde organisatie af te leveren. De exacte initiële toegangsmethoden die bij de aanvallen worden gebruikt, zijn momenteel onbekend.
Verdere analyse heeft uitgewezen dat hoewel veel slachtoffers tussen januari en maart 2024 door NosyHistorian werden getroffen, slechts een subgroep van deze slachtoffers besmet was met NosyDoor, wat wijst op een meer gerichte aanpak. In sommige gevallen bleek de druppelaar die werd gebruikt om de achterdeur in te zetten met behulp van AppDomainManager-injectie “executievangrails” te bevatten die zijn ontworpen om de werking te beperken tot de machines van specifieke slachtoffers.
Ook gebruikt door LongNosedGoblin zijn andere tools zoals een omgekeerde SOCKS5-proxy, een hulpprogramma dat wordt gebruikt om een videorecorder te laten draaien om audio en video vast te leggen, en een Cobalt Strike-lader.
Het cyberbeveiligingsbedrijf merkte op dat het vakgebied van de dreigingsactoren zwakke overlappingen vertoont met clusters die worden gevolgd als ToddyCat en Erudite Mogwai, maar benadrukte het gebrek aan definitief bewijs dat ze met elkaar verbindt. Dat gezegd hebbende, hebben de overeenkomsten tussen NosyDoor en LuckyStrike Agent en de aanwezigheid van de uitdrukking “Betaalde versie” in het PDB-pad van LuckyStrike Agent de mogelijkheid doen ontstaan dat de malware wordt verkocht of in licentie wordt gegeven aan andere bedreigingsactoren.
“Later identificeerden we nog een exemplaar van een NosyDoor-variant die zich richtte op een organisatie in een EU-land, waarbij opnieuw verschillende TTP’s werden gebruikt en de Yandex Disk-cloudservice als C&C-server werd gebruikt”, merkten de onderzoekers op. “Het gebruik van deze NosyDoor-variant suggereert dat de malware mogelijk wordt gedeeld door meerdere met China verbonden dreigingsgroepen.”
