Symantec hat Angriffe einer mutmaßlichen chinesischen ATP-Gruppe aufgedeckt, die seit Oktober 2019 weltweit Angriffe auf Computersysteme japanischer Firmen und deren Tochtergesellschaften versucht und dabei die Zerologon-Schwachstelle ausnutzt. Aktuell ist eine massive weltweite Kampagne im Gange, wobei Automobil-, Pharma- und Maschinenbauunternehmen die Hauptziele sind.
Anzeige
In diesem Beitrag schreibt Symantec, dass man auf eine groß angelegte Angriffskampagne gestoßen sei, die sich gegen mehrere japanische Unternehmen richtet. Darunter seien auch Tochtergesellschaften, die weltweit in bis zu 17 Regionen angesiedelt sind. Es geht um wahrscheinlich um Cyber-Spionage (nachrichtendienstlichen Operation).
Das Ausmaß und die Raffinesse dieser Angriffskampagne deuten darauf hin, dass sie das Werk einer großen und gut ausgestatteten Gruppe ist. Symantec gibt an, das es genügend Beweise dafür gibt, dass die ausgeklügelten Angriffe der, mutmaßlich im chinesischen Staatsauftrag operierenden, ATP-Gruppe Cicada (Zikade) zuzuordnen sind.
Die Gruppe, auch als APT10, Steinpanda oder Cloud Hopper bekannt ist seit 2009 an spionageartigen Operationen beteiligt, und US-Stellen aben die Aktivitäten von APT10 mit der chinesischen Regierung in Verbindung gebracht. Die Cicada-Gruppe war in der Vergangenheit dafür bekannt, dass sie auf mit japanische Firmen oder mit Japan verbundene Organisationen abzielt. Es wurden in der Vergangenheit auch Managed Service Provider (MSP) ins Visier genommen.
Kampagne offen gelegt
Diese Kampagne wurde von Symantec zum ersten Mal entdeckt, als verdächtige DLL-Side-Loading-Aktivitäten in einem der Netzwerke eines Kunden eine Warnung der Symantec Cloud Analytics-Technologie auslösten. Diese ist in Symantec Endpoint Security Complete (SESC) verfügbar. Diese Aktivität wurde dann von den Symantec Threat Hunter-Analysten überprüft, bevor sie zur weiteren Analyse an das Symantec-Untersuchungsteam weitergeleitet wurde.
Anzeige
Die ATP-10Gruppe setzt bei dieser Angriffskampagne sowohl "living-off-the-land"-Tools (siehe auch) als auch benutzerdefinierte Malware ein. Darunter befindet sich auch auch eine spezielle Malware – Backdoor.Hartip – die Symantec bisher noch nicht von der Gruppe verwendet wurde. Die Angreifer verwenden bei dieser Kampagne ausgiebig DLL-Side-Loading-Techniken. Zudem wurde auch dabei beobachtet, wie die Angreifer die ZeroLogon-Schwachstelle ausnutzten.
Die sogenannten living-off-the-land-Angriffstechniken (Fileless-Malware) benutzen bereits auf dem Zielsystem befindliche DLLs, um Malware auszuführen. Zu living-off-the-land-Angriffen hatte ich hier im Blog kürzlich die Blog-Beiträge Sicherheitsbedenken wegen Microsoft Defender Download-Feature, Malware kann Microsoft Teams Updater missbrauchen und Windows Update kann für Malware-Auslieferung missbraucht werden. In den Kommentaren zu diesen Artikeln fühlten sich Leute immer wieder bemüßigt, LOL klein zu reden, so nach dem Motto: Ist ja schon auf dem Rechner, kann nur im Benutzerkontext ausgeführt werden.
Die Zerologon-Schwachstelle habe ich hier im Blog ebenfalls ausgiebig beleuchtet (siehe Artikellinks am Beitragsende). Diese Schwachstelle wurde in der ersten Stufe im August 2020 durch Microsoft gepatcht.
Die APT10-Hacker führen diese Kampagne seit etwa einem ganzen Jahr durch, von mindestens Mitte Oktober 2019 bis Anfang Oktober 2020. In einigen Fällen blieben die APT10-Akteure fast ein ganzes Jahr lang in den Netzwerken ihrer Opfer aktiv und unentdeckt, was zeigt, dass sie über die Mittel und die Raffinesse verfügen, um ihre bösartigen Aktivitäten wirksam zu verbergen. Zu den Rechnern, die während dieser Angriffskampagne kompromittiert wurden, gehörten Domänencontroller und Dateiserver, und es gab Hinweise darauf, dass von einigen der kompromittierten Rechner Dateien abgezogen wurden.
Details lassen sich im Symantec/Broadcom Blog-Beitrag nachlesen. Von Bleeping Computer, ZDNet und The Register gibt es ebenfalls Artikel zum Thema.
Ähnliche Artikel:
Sicherheitsbedenken wegen Microsoft Defender Download-Feature
Malware kann Microsoft Teams Updater missbrauchen
Windows Update kann für Malware-Auslieferung missbraucht werden
Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme
CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)
Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)
Französische IT-Firma Sopra Steria von Ryuk-Ransomware befallen, Zerologon ausgenutzt?
Anzeige
ATP- oder APT-Gruppe, das ist hier die Frage.