{"id":237807,"date":"2020-11-19T06:04:21","date_gmt":"2020-11-19T05:04:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237807"},"modified":"2020-11-19T15:32:33","modified_gmt":"2020-11-19T14:32:33","slug":"bitdefender-analysiert-apt-angriff-auf-sdostasiatische-behrden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/19\/bitdefender-analysiert-apt-angriff-auf-sdostasiatische-behrden\/","title":{"rendered":"Bitdefender analysiert APT-Angriff auf südostasiatische Behörden"},"content":{"rendered":"

[English<\/a>]Wie funktioniert Cyberspionage eigentlich genau? Sicherheitsforscher von Bitdefender haben eine komplexe Angriffskette durch APT-Hacker unter die Lupe genommen und beschreiben die Anatomie eines solches Cyber-Angriffs einer APT auf s\u00fcdostasiatische Beh\u00f6rden.<\/p>\n

<\/p>\n

Die Sicherheitsforscher von Bitdefender haben eine komplexe und gezielte Angriffskette durch organisierte APT-Hacker genauer analysiert und konnten so einen Ablauf von Cyberspionage detailliert nachzeichnen. Konkret geht es um Attacken auf Regierungsorganisationen in S\u00fcdostasien, die vermutlich seit 2018 durchgef\u00fchrt wurden.<\/p>\n

Die T\u00e4ter wollten mutma\u00dflich Informationen bez\u00fcglich nationaler Sicherheitsinteressen sowie weitere sensible Daten abzweigen und Industriespionage betreiben. In einem Whitepaper legen die Bitdefender-Spezialisten eine tiefgehende Analyse der eingesetzten Techniken und ihres Zusammenspiels sowie einen zeitlichen Abriss der Angriffskette vor.<\/p>\n

200 Systeme in den letzten zwei Jahren betroffen<\/h2>\n

Erste Hinweise auf Aktivit\u00e4ten lassen sich auf den November 2018 datieren. Die Hauptphase begann Anfang 2019. In den ersten f\u00fcnf Monaten des Jahres zeigten rund 200 Systeme Symptome des Angriffs. Offenbar ist die daf\u00fcr aufgebaute Infrastruktur zurzeit nicht aktiv, wenn auch einige wenige Elemente weiterhin im Betrieb sind.<\/p>\n

\"Infrastruktur
\nZentrum der Infrastruktur f\u00fcr die APT-Angriffe war Hongkong. Nur ein weiterer Server befand sich jeweils in Vietnam, China und S\u00fcdkorea.<\/em><\/p>\n

Langfristige Infiltration der Infrastruktur zu Spionagezwecken<\/h2>\n

Eingesetzt wurde ein umfassendes Arsenal von Droppern und Tools wie die Backdoors Chinoxy, PCShare RAT und FunnyDream. Bestimmte forensische Artefakte deuten auf hochspezialisierte chinesische Autoren hin, zum Beispiel Remote Access Trojaner (RAT) oder auch andere eingesetzte Ressourcen, deren Ursprung der Volksrepublik zugeordnet wird. Offensichtlich kompromittieren die Autoren Domain Controller im Netzwerk der Opfer.<\/p>\n

\"<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a>, Installation der PcMain-Payload f\u00fcr den Remote Access Trojaner PCShare mit Hilfe des Chinoxy-Backdoor. Nachhaltige Kontrolle \u00fcber Systeme dank der Modifikation einer auf GitHub erh\u00e4ltlichen PCShare-Version.<\/em><\/p>\n

Die APT-Experten erreichten ihre langfristige Pr\u00e4senz in den Netzwerken durch digital signierte Bin\u00e4rdateien. Diese boten eine L\u00fccke, um \u00fcber einen Sideload ein Backdoor in den Speicher zu laden. Im n\u00e4chsten Schritt konnten sie sich im Netz bewegen und die langfristige Kontrolle \u00fcber eine gro\u00dfe Zahl von Maschinen in der IT-Infrastruktur des Unternehmens erlangen. So \u00fcberwachten sie die Aktivit\u00e4ten der angegriffenen Organisationen und exfiltrierten Informationen.<\/p>\n

Die Analyse der Bitdefender-Threat-Analysten steht in einem Whitepaper [PDF] zum kostenlosen Download hier<\/a> bereit.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Wie funktioniert Cyberspionage eigentlich genau? Sicherheitsforscher von Bitdefender haben eine komplexe Angriffskette durch APT-Hacker unter die Lupe genommen und beschreiben die Anatomie eines solches Cyber-Angriffs einer APT auf s\u00fcdostasiatische Beh\u00f6rden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-237807","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237807","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237807"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237807\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237807"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237807"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237807"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}