Er is de afgelopen drie maanden waargenomen dat twee aan China gelinkte Advanced Persistent Threat (APT)-groepen zich hebben gericht op entiteiten en lidstaten die zijn aangesloten bij de Associatie van Zuidoost-Aziatische Naties (ASEAN) als onderdeel van een cyberspionagecampagne.
Dit omvat de dreigingsactor die bekend staat als Mustang Panda, die onlangs in verband is gebracht met cyberaanvallen tegen Myanmar en andere Aziatische landen met een variant van de PlugX (ook bekend als Korplug) achterdeur genaamd DOPLUGS.
Van Mustang Panda, ook wel Camaro Dragon, Earth Preta en Stately Taurus genoemd, wordt aangenomen dat hij entiteiten in Myanmar, de Filippijnen, Japan en Singapore heeft aangevallen met phishing-e-mails die zijn ontworpen om twee malwarepakketten af te leveren.
“Bedreigingsactoren creëerden malware voor deze pakketten op 4-5 maart 2024, die samenviel met de ASEAN-Australië Speciale Top (4-6 maart 2024)”, zei Palo Alto Networks Unit 42 in een rapport gedeeld met The Hacker News.
Eén van de malwarepakketten is een ZIP-bestand dat een uitvoerbaar bestand bevat (“Talking_Points_for_China.exe”), dat bij het starten een DLL-bestand (“KeyScramblerIE.dll”) laadt en uiteindelijk een bekende Mustang Panda-malware inzet, genaamd PUBLOAD, een downloader die eerder werd gebruikt om PlugX te laten vallen.
Het is de moeite waard om erop te wijzen dat het binaire bestand een hernoemde kopie is van legitieme software genaamd KeyScrambler.exe die gevoelig is voor side-loading van DLL's.
Het tweede pakket daarentegen is een uitvoerbaar bestand voor een screensaver (“Note PSO.scr”) dat wordt gebruikt om kwaadaardige code van een extern IP-adres op te halen, inclusief een goedaardig programma ondertekend door een videogamebedrijf omgedoopt tot WindowsUpdate. exe en een frauduleuze DLL die wordt gelanceerd met dezelfde techniek als voorheen.
“Deze malware probeert vervolgens een verbinding tot stand te brengen met www[.]openservernaam[.]com op 146.70.149[.]36 voor command-and-control (C2)”, aldus de onderzoekers.
Eenheid 42 zei dat het ook netwerkverkeer had gedetecteerd tussen een aan de ASEAN gelieerde entiteit en de C2-infrastructuur van een tweede Chinese APT-groep, wat erop wijst dat er sprake is van een inbreuk op de omgeving van het slachtoffer. Dit naamloze cluster van dreigingsactiviteiten wordt toegeschreven aan soortgelijke aanvallen op Cambodja.
“Dit soort campagnes blijft aantonen hoe organisaties het doelwit zijn van cyberspionagedoeleinden, waarbij aan nationale staten gelieerde dreigingsgroepen informatie verzamelen over geopolitieke belangen binnen de regio”, aldus de onderzoekers.
Earth Krahang duikt op in het wild
De bevindingen komen een week nadat Trend Micro licht werpt op een nieuwe Chinese bedreigingsacteur, bekend als Earth Krahang, die zich heeft gericht op 116 entiteiten in 35 landen door gebruik te maken van spear-phishing en fouten in openbare Openfire- en Oracle-servers om op maat gemaakte malware zoals PlugX te leveren. , ShadowPad, ReShell en DinodasRAT (ook bekend als XDealer).
De eerste aanvallen dateren van begin 2022, waarbij de tegenstander een combinatie van methoden gebruikte om te scannen op gevoelige gegevens.
Earth Krahang, dat een sterke focus heeft op Zuidoost-Azië, vertoont ook enige mate van overlap met een andere Chinese nexus-bedreigingsacteur die wordt gevolgd als Earth Lusca (ook bekend als RedHotel). Beide inbraaksets worden waarschijnlijk beheerd door dezelfde dreigingsactor en zijn verbonden met een Chinese overheidscontractant genaamd I-Soon.
“Een van de favoriete tactieken van de bedreigingsacteur is het gebruik van zijn kwaadaardige toegang tot de overheidsinfrastructuur om andere overheidsinstanties aan te vallen, het misbruiken van de infrastructuur om kwaadaardige ladingen te hosten, proxy-aanvalsverkeer te hosten en spear-phishing-e-mails te sturen naar overheidsgerelateerde doelen met behulp van gecompromitteerde e-mailaccounts van de overheid. ”, aldus het bedrijf.
“Earth Krahang gebruikt ook andere tactieken, zoals het bouwen van VPN-servers op gecompromitteerde openbare servers om toegang te krijgen tot het privénetwerk van slachtoffers en het uitvoeren van brute-force-aanvallen om e-mailgegevens te verkrijgen. Deze gegevens worden vervolgens gebruikt om e-mails van slachtoffers te exfiltreren.”
De I-Soon-lekken en de schimmige hack-for-hire-scène
Vorige maand onthulde een reeks gelekte documenten van I-Soon (ook bekend als Anxun) op GitHub hoe het bedrijf een breed scala aan stealers en trojans voor externe toegang zoals ShadowPad en Winnti (ook bekend als TreadStone) verkoopt aan meerdere Chinese overheidsinstanties. Dit omvat ook een geïntegreerd operatieplatform dat is ontworpen om offensieve cybercampagnes uit te voeren en een Linux-implantaat zonder papieren met de codenaam Hector.
“Het geïntegreerde operationele platform omvat zowel interne als externe applicaties en netwerken”, aldus bisschop Fox. “De interne applicatie is vooral bedoeld voor missie- en resourcemanagement. De externe applicatie is bedoeld om cyberoperaties uit te voeren.”
De obscure hack-for-hire-entiteit is ook betrokken bij de POISON CARP-campagne van 2019 gericht op Tibetaanse groepen en de hack van Comm100 uit 2022, naast aanvallen gericht op buitenlandse regeringen en binnenlandse etnische minderheden om waardevolle informatie te verkrijgen, waarvan sommige worden overgedragen zelfstandig op pad in de hoop een overheidsklant binnen te halen.
“Het datalek heeft zeldzaam inzicht opgeleverd in hoe de Chinese overheid delen van haar cyberoperaties uitbesteedt aan particuliere externe bedrijven, en hoe deze bedrijven met elkaar samenwerken om aan deze eisen te voldoen”, aldus ReliaQuest.
Cyberbeveiligingsbedrijf Recorded Future zei in zijn eigen analyse dat het lek de ‘operationele en organisatorische banden’ tussen het bedrijf en drie verschillende door de Chinese staat gesponsorde cybergroepen zoals RedAlpha (ook bekend als Deepcliff), RedHotel en POISON CARP ontrafelt.
“Het biedt ondersteunend bewijsmateriaal met betrekking tot de lang vermoede aanwezigheid van ‘digitale kwartiermeesters’ die capaciteiten bieden aan meerdere door de Chinese staat gesponsorde groepen.”
Het zei ook dat de overlappingen wijzen op de aanwezigheid van meerdere subteams die zich richten op specifieke missies binnen hetzelfde bedrijf. De slachtofferrol van I-Soon verspreidt zich naar ten minste 22 landen, waarbij overheid, telecommunicatie en onderwijs de meest gerichte sectoren vertegenwoordigen.
Bovendien bevestigen de gepubliceerde documenten dat de Tianfu Cup – China's eigen kijk op de Pwn2Own-hackwedstrijd – fungeert als een ‘vulnerability feeder-systeem’ voor de overheid, waardoor deze zero-day exploits kan opslaan en exploitcode kan bedenken.
“Als de inzendingen van de Tianfu Cup nog geen volledige exploitatieketens zijn, verspreidt het ministerie van Openbare Veiligheid de proof-of-concept-kwetsbaarheden onder particuliere bedrijven om deze proof-of-concept-mogelijkheden verder te exploiteren”, aldus Margin Research.
“De Chinese eis voor openbaarmaking van kwetsbaarheden is een onderdeel van de puzzel van hoe China kwetsbaarheden opslaat en bewapent, en daarmee de heimelijke verzameling in steen zet die de Tianfu Cup in voorgaande jaren heeft aangeboden.”
De bron van het lek is momenteel niet bekend, hoewel twee medewerkers van I-Soon aan The Associated Press hebben verteld dat er een onderzoek gaande is in samenwerking met de wetshandhaving. De website van het bedrijf is inmiddels offline gegaan.
“Het lek biedt enkele van de meest concrete details die tot nu toe publiekelijk zijn gezien, en onthult de volwassenheid van het Chinese cyberspionage-ecosysteem”, aldus Dakota Cary en Aleksandar Milenkoski van SentinelOne. “Het laat expliciet zien hoe de eisen van de overheid een concurrerende markt van onafhankelijke hackers teweegbrengen.”
