Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Chinesisches APT „Earth Krahang“ kompromittiert 48 Regierungsorganisationen auf 5 Kontinenten

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 138

Einer bisher nicht identifizierten chinesischen Spionagegruppe ist es gelungen, in mindestens 70 Organisationen in 23 Ländern einzudringen, darunter 48 im Regierungsbereich, obwohl sie eher Standardtaktiken, -techniken und -verfahren (TTPs) einsetzte.

„Earth Krahang“ scheint kein hochrangiges militärisches APT zu sein. In ein neuer BerichtForscher von Trend Micro vermuteten, dass es sich um einen Flügel davon handeln könnte iSoon, ein privates Hack-for-Hire-Unternehmen im Auftrag der Kommunistischen Partei Chinas (KPCh). Und statt hochentwickelte Malware und Stealth-Taktiken einzusetzen, nutzt es bei einer solchen Cyberkriminalitätsoperation ein Arsenal von weitgehend Open-Source- und gut dokumentierten Tools sowie eintägige Schwachstellen und Standard-Social-Engineering, um seine Ziele zu besiegen.

Trotzdem kann die Liste der Opfer mit der von anderen konkurrieren Volt-Taifun, BlackTech und Mustang-Panda.

Die Gruppe hat nicht weniger als 116 Organisationen in 35 Ländern ins Visier genommen und verfügt über mindestens 70 bestätigte Kompromittierungen, darunter vier Dutzend mit Verbindungen zu verschiedenen Regierungen der Welt. In einem Fall gelang es, in eine Vielzahl von Organisationen einzudringen, die mit elf Ministerien verbunden waren. Opfer kamen auch aus den Bereichen Bildung und Telekommunikation, Finanzen, IT, Sport und mehr. Die höchste Konzentration an Opfern kommt aus Asien, aber die Fälle erstrecken sich auch auf den amerikanischen Kontinent (Mexiko, Brasilien, Paraguay), Europa (Großbritannien, Ungarn) und Afrika (Ägypten, Südafrika).

„Der Einsatz von Open-Source-Tools zur Kompromittierung staatlicher Stellen ist bemerkenswert, aber nicht ganz überraschend“, sagt Callie Guenther, Senior Manager für Cyber-Bedrohungsforschung bei Critical Start. „Regierungen verfügen oft über riesige und komplexe IT-Infrastrukturen, was zu Inkonsistenzen bei den Sicherheitspraktiken führen und die Abwehr aller Arten von Angriffen erschweren kann, auch solche, die grundlegende Open-Source-Tools nutzen.“

Die Eindringungstaktiken von Earth Krahang

Einige erfolgreiche chinesische APTs zeichnen sich durch aus einzigartige Zero-Days or komplexe Taktiken, die sie anwenden besser als alle anderen.

Earth Krahang ist eher ein Alleskönner.

Der erste Schritt besteht darin, das Web nach öffentlich zugänglichen Servern von Interesse zu durchsuchen, beispielsweise solchen, die mit Regierungsorganisationen verbunden sind. Um nach Schwachstellen zu suchen, die es ausnutzen kann, verwendet es eines von zahlreichen Open-Source-Standardtools, darunter SQLMap, Nuclei, Xray, VScan, PocSuite und WordPressScan. Zwei Bugs, die Earth Krahang besonders gerne ausnutzt, sind CVE-2023-32315 – ein Fehler bei der Befehlsausführung im Echtzeit-Kollaborationsserver Openfire, der von CVSS mit 7.5 bewertet wurde – und CVE-2022-21587 – ein kritischer Fehler bei der Befehlsausführung mit der Bewertung 9.8 mit dem Web Applications Desktop Integrator in der E-Business Suite von Oracle.

Nachdem die Gruppe einen Fuß auf einen öffentlichen Server gesetzt hat, nutzt sie weitere Open-Source-Software, um nach sensiblen Dateien, Passwörtern (insbesondere für E-Mails) und anderen nützlichen Ressourcen zu suchen, etwa nach einsamen Subdomains, die auf weitere nicht gewartete Server verweisen könnten. Es werden auch eine Reihe von Brute-Force-Angriffen eingesetzt – beispielsweise die Verwendung einer Liste gängiger Passwörter, um Microsoft Exchange-Server über Outlook im Web zu knacken.

„Obwohl es so aussieht, als ob Open Source leicht zu erkennen sein sollte“, sagt Jon Clay, Vizepräsident für Bedrohungsintelligenz bei Trend Micro, „in Wirklichkeit gibt es hier viele TTPs, die gefunden und erkannt werden müssen.“ Außerdem kann der Gegner mithilfe von Umgehungstaktiken der Verteidigung sicherstellen, dass die Opfer nicht in der Lage sind, sich zu verteidigen.“

Die Ausbeutungs- und Heimlichkeitstaktiken von Earth Krahang

Am Ende all dessen (und noch viel mehr) kann der Angreifer zwei Hauptaktionen durchführen: Hintertüren auf kompromittierten Servern öffnen und E-Mail-Konten kapern.

Letzteres ist von besonderem Nutzen. „Die Verwendung legitimer Systeme und E-Mail-Konten zur Unterstützung ihres Angriffs ist hier besonders interessant, da dieser Angreifer legitime Konten verwendet, um einem Opfer vorzutäuschen, es sei in Sicherheit“, erklärt Clay. Mit einer Liste hochwertiger Kontakte und der durch die Verwendung eines echten Kontos gewonnenen Legitimität verschickt die Gruppe E-Mails mit Betreffzeilen, die den Anforderungen entsprechen – etwa „Rundschreiben des malaysischen Verteidigungsministeriums“ –, aber auch schädliche URLs oder Anhänge und Dateinamen, die den Anforderungen entsprechen das Gleiche – z. B. „Beim Besuch des paraguayischen Außenministers in Turkmenistan.exe.“

Ob per E-Mail oder über eine Schwachstelle in einem Webserver – die verschiedenen Ziele von Earth Krahang laden am Ende eine oder mehrere Hintertüren herunter.

Bei ihren ersten Angriffen, etwa im Jahr 2022, nutzte die Gruppe „RESHELL“, ein recht einfaches, maßgeschneidertes .NET-Tool zum Sammeln von Informationen, Löschen von Dateien und Ausführen von Systembefehlen mit AES-verschlüsselter Command-and-Control-Kommunikation (C2).

Im Jahr 2023 wechselte die Gruppe zu „XDealer“, das über weitere Funktionen verfügt, darunter Keylogging, Screenshots und Stehlen aus der Zwischenablage. Neben der Kompatibilität mit Windows und Linux zeichnet sich XDealer auch dadurch aus, dass einige seiner Loader gültige Codesignaturzertifikate enthalten. Trend Micro vermutet, dass diese Zertifikate – eines gehörte einem legitimen Personalunternehmen und das andere einem Spieleentwicklungsunternehmen – wahrscheinlich gestohlen wurden, um beim Herunterladen der Malware auf neue Systeme eine zusätzliche Schutzschicht zu bieten.

Auch die Erde hat Krahang genutzt alte Bedrohungen wie PlugX und Schattenpolster, und es setzt Cobalt Strike häufig in Kombination mit einem anderen Open-Source-Tool (RedGuard) ein, das Cybersicherheitsanalysten daran hindert, seine C2-Infrastruktur festzunageln.

Da der Bedrohungsakteur relativ geradlinig vorgeht, schlägt Guenther vor, dass „standardmäßige Best Practices zum Schutz vor diesen TTPs empfohlen werden.“ Unternehmen sollten ihre E-Mail-Sicherheit verbessern, um sich vor Spear-Phishing zu schützen, ihre Systeme regelmäßig aktualisieren und patchen, um sie vor bekannten Schwachstellen zu schützen, und Netzwerksegmentierung einsetzen, um die Ausbreitung eines Angreifers innerhalb ihrer Netzwerke zu begrenzen. Auch die Überwachung auf abnormalen Netzwerkverkehr und ungewöhnliche Zugriffsmuster kann bei der Früherkennung solcher Kampagnen helfen.“

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.