Main menu

Pages

China-verbundene APT Billbug Verletzung der Zertifizierungsstelle in AsiaSecurity-Fällen

Meta description

Eine APT-Gruppe, die angeblich mit China verbunden ist, hat im Rahmen einer Kampagne, die sich seit März 2022 an Regierungsbehörden richtet, eine digitale Zertifizierungsstelle in Asien verletzt.

Staatlich geförderte Akteure haben im Rahmen einer Cyberspionagekampagne gegen mehrere Regierungsbehörden in der Region eine digitale Zertifizierungsstelle in einem asiatischen Land kompromittiert, warnt Symantec.

Symantec schreibt den Angriff einer mit China verbundenen Cyberspionagegruppe zu, die als Billbug (alias Lotus Blossom, Thrip) verfolgt wird. Die Zuordnung basiert auf der Verwendung von Werkzeugen, die zuvor dieser APT-Gruppe zugeordnet wurden.

Im Jahr 2019 berichteten Symantec-Forscher, dass die Gruppe die Hintertüren Hannotog (Backdoor.Hannotog) und Sagerunex (Backdoor.Sagerunex) verwendete, die beide in der jüngsten Kampagne verwendet wurden.

“Zu den Opfern dieser Kampagne gehörten eine Zertifizierungsstelle sowie Regierungs- und Verteidigungsbehörden.” liest den von Symantec veröffentlichten Bericht. „Alle Opfer lebten in verschiedenen Ländern Asiens. Billbug ist dafür bekannt, sich auf Ziele in asiatischen Ländern zu konzentrieren. Bei mindestens einem der Regierungsopfer wurde eine große Anzahl von Netzwerkmaschinen von den Angreifern kompromittiert.

Die Kompromittierung einer Zertifizierungsstelle könnte es Angreifern ermöglichen, gültige Code-Signing-Zertifikate auszustellen, die zum Signieren von Malware verwendet werden könnten, um eine Erkennung zu vermeiden. Kompromittierte Zertifikate können auch zum Abfangen von HTTPS-Verkehr verwendet werden.

Die gute Nachricht ist, dass Symantec keine Beweise dafür gefunden hat, dass die Angreifer die digitalen Zertifikate kompromittieren konnten. Das Sicherheitsunternehmen hat die Zertifizierungsstelle über die böswillige Aktivität informiert.

Die Kampagne läuft seit mindestens März 2022.

Angriffskettenanalysen deuten darauf hin, dass Angreifer öffentlich zugängliche Anwendungen nutzen, um ersten Zugriff auf Opfernetzwerke zu erhalten.

Bedrohungsakteure verwenden häufig Tools mit doppeltem Verwendungszweck und von der Erde lebende Tools sowie benutzerdefinierte Malware. Nachfolgend finden Sie eine Liste der Tools, die von dieser APT-Gruppe verwendet werden:

  • AdFind – Ein öffentlich verfügbares Tool, das zum Abfragen von Active Directory verwendet wird. Es hat legitime Verwendungszwecke, wird aber häufig von Angreifern verwendet, um ein Netzwerk zu kartieren.
  • winmail – Kann winmail.dat-Dateien öffnen.
  • WinRAR – Ein Archivmanager, mit dem Dateien archiviert oder komprimiert werden können – beispielsweise vor der Exfiltration.
  • Klingeln – Ein online frei verfügbares Tool, mit dem Benutzer feststellen können, ob ein bestimmter Standort in einem Netzwerk antwortet.
  • Tracert – Ein Netzwerktool, mit dem der „Pfad“ bestimmt werden kann, den Pakete von einer IP-Adresse zu einer anderen nehmen. Es bietet Hostnamen, IP-Adresse und Ping-Antwortzeit.
  • Route – Ein Pfad zum Senden von Paketen über das Internet-Netzwerk an eine Adresse in einem anderen Netzwerk.
  • NBT-Analyse – Open-Source-Befehlszeilen-NetBIOS-Analysator.
  • Certutil – Microsoft Windows-Dienstprogramm, das für verschiedene böswillige Zwecke verwendet werden kann, z. B. das Entschlüsseln von Informationen, das Herunterladen von Dateien und das Installieren von Browser-Root-Zertifikaten.
  • Port-Analysator – Ermöglicht einem Angreifer festzustellen, welche Ports in einem Netzwerk offen sind und potenziell zum Senden und Empfangen von Daten verwendet werden könnten.

Die APT-Gruppe verwendete auch ein Open-Source-Multi-Tier-Proxy-Tool namens Stowaway, um externen Datenverkehr in das Intranet zu leiten.

Cobalt Strike, ein Penetrationstest-Framework, wird von vielen als Commodity-Malware angesehen, da es so oft von böswilligen Akteuren verwendet wird.

„Das Targeting von Regierungsopfern wird höchstwahrscheinlich von Spionagemotiven angetrieben, wobei die CA wahrscheinlich ins Visier genommen wird, um legitime digitale Zertifikate zu stehlen, wie in der Einleitung erwähnt.“ schlossen die Forscher. „Die Fähigkeit dieses Akteurs, mehrere Opfer gleichzeitig zu kompromittieren, zeigt, dass diese Bedrohungsgruppe ein erfahrener und gut ausgestatteter Operator bleibt, der in der Lage ist, groß angelegte Kampagnen durchzuführen.“

Folge mir auf Twitter: @Sicherheitsfragen und Facebook und Mastodon

Pierluigi Paganini

(Sicherheitsfälle Hacking, Zertifizierungsstelle)






Blog In 2021 joker0o xyz

Commentaires