De BlackBerry Research & Het inlichtingenteam heeft dinsdag een nieuw rapport uitgebracht waarin ongelijksoortige malwarecampagnes worden gekoppeld aan de Chinese cyberspionagegroep APT41, waarbij wordt opgemerkt dat de groep misbruik heeft gemaakt van Cobalt Strike-activiteit met behulp van een op maat gemaakt Malleable C2-profiel dat COVID-19-phishing-lokmiddelen gebruikt om slachtoffers in India te targeten.< /p>
Het team kon phishing-lokmiddelen koppelen via PDF- en ZIP-bestanden met informatie over belastingwetgeving en COVID-19-statistieken, vermomd als afkomstig van Indiase overheidsinstanties.
De Amerikaanse overheid heeft in 2020 een aanklacht ingediend tegen vijf APT41-leden voor het hacken van meer dan 100 bedrijven over de hele wereld. Amerikaanse functionarissen zeiden dat APT41-leden erin slaagden computernetwerken van buitenlandse regeringen in India en Vietnam te compromitteren, evenals pro-democratische politici en activisten in Hong Kong.
De APT41-groep is een van de meest beruchte en actieve door de staat gesponsorde hackgroepen. De operaties van ATP41 werden voor het eerst beschreven in een FireEye-rapport dat in augustus 2019 werd gepubliceerd. Het rapport koppelde de groep aan enkele van de grootste supply chain-aanvallen van de afgelopen jaren en aan oudere hacks die al in 2012 zullen plaatsvinden.
De groep gebruikt openbaar beschikbare profielen die zijn ontworpen om eruit te zien als legitiem netwerkverkeer van Amazon, Gmail, OneDrive en anderen. BlackBerry vond verbanden tussen deze campagne en andere die in 2020 door FireEye zijn gepubliceerd, evenals Prevailion, Subex en PTSecurity.
“Het beeld dat we ontdekten, was dat van een door de staat gesponsorde campagne die inspeelt op de hoop van mensen op een snel einde van de pandemie als een lokmiddel om de slachtoffers in de val te lokken. En eenmaal op de computer van een gebruiker gaat de dreiging op in het digitale houtwerk door gebruik te maken van zijn eigen aangepast profiel om zijn netwerkverkeer te verbergen”, aldus het team in zijn rapport.
“APT41 is een productieve, door de Chinese staat gesponsorde cyberbedreigingsgroep die al in 2012 malwarecampagnes heeft uitgevoerd met betrekking tot spionage en financieel gemotiveerde criminele activiteiten. gezondheidszorg, nieuws en onderwijs. APT41 heeft vaak phishing-e-mails met kwaadaardige bijlagen gebruikt als een eerste infectievector. Zodra ze toegang hebben gekregen tot een doelorganisatie, zetten ze doorgaans meer geavanceerde malware in om een blijvende voet aan de grond te krijgen. Deze groep gebruikt een verscheidenheid aan verschillende malwarefamilies, waaronder informatie-stealers, keyloggers en backdoors.”
De onderzoekers zeiden dat ze ontdekten wat volgens hen aanvullende APT41-infrastructuur en phishing-lokmiddelen waren die gericht waren op slachtoffers in India en die informatie bevatten met betrekking tot nieuwe belastingwetgeving en COVID -19 statistieken. Deze berichten zouden afkomstig zijn van Indiase overheidsinstanties, aldus het rapport.
Het doel van de aanval was om een Cobalt Strike Beacon op het netwerk van een slachtoffer te laden en uit te voeren met behulp van de phishing-lokmiddelen en bijlagen.
FireEye en andere cyberbeveiligingsbedrijven hebben jarenlang de tactieken van APT41 gedocumenteerd en het BlackBerry-team zei dat het een kneedbaar C2-profiel op GitHub had gevonden dat leek op een profiel dat werd genoemd door FireEye en geschreven door een Chinese beveiligingsonderzoeker met het pseudoniem '1135'.
“Deze profielen hadden verschillende overeenkomsten: beide gebruikten jQuery Malleable C2-profielen en delen van het HTTP GET-profielblok zijn bijna identiek. HTTP-headervelden zoals 'accept', 'user-agent', 'host' en 'referer', evenals het veld 'set-uri', kwamen allemaal exact overeen met de profielgegevens die in de FireEye-blog worden vermeld”, aldus het rapport.
“Door de HTTP-headers te extraheren en te correleren die worden gebruikt in de GET- en POST-verzoeken die zijn gedefinieerd in de Beacon-configuraties, kunnen we onthullende verbindingen genereren tussen schijnbaar ongelijksoortige Cobalt Strike-infrastructuur. Hoewel we een relatief klein aantal Beacons hebben geïdentificeerd die het BootCSS-domein gebruiken als onderdeel van hun kneedbare C2-configuratie, waren er ook een paar clusters met unieke configuratiemetadata waarmee we extra bakens konden identificeren die verband houden met APT 41. De bakens die door deze nieuwe knooppunten worden bediend, gebruiken een ander kneedbaar profiel dan die in het oorspronkelijke cluster dat probeert het baken te maken verkeer lijkt op legitiem Microsoft-verkeer.”
De domeinen die het team vond, hebben ook vergelijkbare naamgevingsconventies, en bij het doorzoeken van de campagne ontdekte BlackBerry een set van drie pdf's die waren gekoppeld aan .microsoftdocs.workers[.]dev-domeinen die gericht waren op slachtoffers in India. Het kunstaas beloofde informatie met betrekking tot belastingregels en COVID-19-adviezen.
De eerste pdf met betrekking tot belastingregels bevat een ingebed PowerShell-script dat wordt uitgevoerd terwijl de pdf wordt weergegeven aan de gebruiker.
“Het PowerShell-script downloadt en voert een payload uit via '%temp%conhost.exe', dat een payload-bestand laadt met de naam 'event.dat'. Dit .DAT-bestand is een Cobalt Strike Beacon. Het tweede en derde kunstaas hebben elk vergelijkbare uitvoeringsstromen en onderdelen; een PDF-lokmiddel, conhost.exe en een event.*-payload. In dit geval hadden deze gebeurtenisbestanden de extensie .LOG in plaats van .DAT', zo blijkt uit het rapport.
“Het grootste verschil tussen het tweede en derde kunstaas is dat het eerste een zelfuitpakkend archief gebruikt met de naam 'India records hoogste ooit een dag covid_19 recoveryies.pdf.exe', en het tweede een ZIP-bestand gebruikt met de naam 'India records hoogste ooit enkele dag'. day COVID-19 recovery.zip'. Kunstaas twee en drie bevatten ook dezelfde informatie in hun respectieve pdf's. Beide hebben betrekking op een recordaantal COVID-19-herstel in India, informatie die zogenaamd afkomstig is van het Indiase regeringsministerie van Volksgezondheid & Family Welfare.”
De onderzoekers merkten op dat een eerder rapport van september 2020 van Subex vergelijkbare phishing-pogingen aantrof die ook gericht waren op Indiase staatsburgers. Dat rapport schrijft de aanval toe aan de Evilnum APT-groep, maar de BlackBerry-onderzoekers waren het daar niet mee eens en noemden een aantal redenen waarom ze denken dat de boosdoener APT41 is.
De payloads zijn eigenlijk Cobalt Strike Beacons, een kenmerk van APT41 volgens BlackBerry, en er zijn een aantal configuratie-instellingen die de aanval verbinden met APT41.
“Met de middelen van een dreigingsgroep op nationaal niveau is het mogelijk om een werkelijk verbluffend niveau van diversiteit in hun infrastructuur te creëren. En hoewel geen enkele veiligheidsgroep hetzelfde financieringsniveau heeft, kunnen we door onze collectieve denkkracht te bundelen nog steeds de sporen die de betrokken cybercriminelen zo hard hebben geprobeerd te verbergen”, voegde de onderzoekers eraan toe.
Beveiliging
Fortinet, Shopify melden problemen nadat root-CA-certificaat van Lets Encrypt verloopt Ransomware-bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen terwijl hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
China Enterprise Software Mobility Breng uw eigen apparaathardwarebeoordelingen mee 