China-verbundene Akteure richten weiterhin ihren Fokus auf Organisationen, die die US-Politik beeinflussen

Analyse

Chinesische staatlich unterstützte Bedrohungsgruppen wie APT41, Kelp (Salt Typhoon), Space Pirates und die Earth Longzhi Untergruppe führten eine mehrstufige Eindringung gegen eine US-amerikanische Non-Profit-Organisation durch, die die Regierungspolitik beeinflusst. Die Angreifer führten anfängliche Scans nach bekannten Exploits durch (z. B. CVE-2022-26134, CVE-2021-44228, CVE-2017-9805, CVE-2017-17562), nutzten curl, um die Konnektivität zu testen, sammelten Netzwerkdaten mit netstat, erstellten geplante Aufgaben für Persistenz, führten DLL-Sideloading über die legitime VipreAV-Komponente vetysafe.exe aus und verwendeten Tools wie Dcsync und Imjpuexc. Die Kampagne zielte darauf ab, einen langfristigen, unauffälligen Zugang aufrechtzuerhalten und möglicherweise Domänencontroller zu kompromittieren.

Untersuchung

Die Untersuchung identifizierte eine Reihe von ATT&CK-Techniken: Aufklärung (T1595) über Massenscans nach verwundbaren Diensten; anfänglicher Zugang (T1190) unter Verwendung von Exploits CVE-2022-26134, CVE-2021-44228, CVE-2017-9805, CVE-2017-17562; Command-and-Control Tests mit curl-Anfragen an externe Seiten (https://www.google.com , https://www.microsoft.com usw.); Entdeckung (T1049) unter Verwendung von netstat zur Auflistung von Netzwerkverbindungen; Persistenz (T1053) durch eine geplante Aufgabe, die mit schtasks /create /tn MicrosoftWindowsRasOutbound erstellt wurde; Verteidigungsevasion (T1574.002) durch DLL-Sideloading von sbamres.dll über vetysafe.exe; Zugang zu Anmeldeinformationen (T1003) mit Dcsync zur Replikation von Verzeichnisdaten; Ausführung (T1059) eines benutzerdefinierten Ladekonzepts und von Imjpuexc. Beobachtete Tools umfassten legitime Windows-Dienstprogramme (netstat, schtasks), curl, msbuild.exe, vetysafe.exe (VipreAV), sbamres.dll, Dcsync, Imjpuexc und benutzerdefinierte verschlüsselte Loader. Kompromittierungsindikatoren (IOCs) wie Hash-Werte für sbamres.dll, imjpuexc.exe und Netzwerkverkehr zu hxxp://38.180.83[.]166/6CDF0FC26CDF0FC2 wurden aufgezeichnet.

Minderung

• • Patchen Sie sofort alle anfälligen Software, insbesondere Atlassian-Produkte (CVE-2022-26134), Log4j (CVE-2021-44228), Apache Struts (CVE-2017-9805) und GoAhead (CVE-2017-17562).
• • Implementieren Sie Anwendungskontrollen (z. B. AppLocker, Windows Defender Application Control), um die unbefugte Ausführung von gängigen Hilfsprogrammen wie curl, msbuild.exe und benutzerdefinierten Loadern aus nicht standardmäßigen Verzeichnissen zu blockieren.
• • Durchsetzen strikter Mindestberechtigungsrichtlinien; Einschränkung der Erstellung geplanter Aufgaben nur auf autorisierte Administratoren. Implementierung von Erkennungsregeln für DLL-Sideloading und Überwachung auf die Ausführung bekannter legitimer Binärdateien, die unerwartete DLLs laden (z. B. vetysafe.exe, das sbamres.dll lädt).
• • Aktivieren Sie die Überwachung von Dcsync-Aktivitäten und anomalen Replikationsanfragen an Domänencontrollern.
• Segmentieren Sie Netzwerke, um seitliche Bewegungen zu begrenzen und kritische Assets wie Domänencontroller zu isolieren.
• • Führen Sie regelmäßige Schwachstellenscans und bedrohungsintelligente präventive Exploit-Maßnahmen auf Grundlage aufkommender CVEs durch.
•  

Antwort

• • Isolieren Sie das/die kompromittierten Host(s) und alle ähnlichen Indikatoren für Kompromittierung (IOCs) aufweisende Systeme.
• • Erfassen Sie flüchtigen Speicher und Disk-Images für die forensische Analyse.
• • Entfernen Sie bösartige geplante Aufgaben und löschen Sie unbekannte XML-Dateien, die von msbuild.exe verwendet werden.
• • Ersetzen oder bereinigen Sie kompromittierte Binärdateien (vetysafe.exe, msbuild.exe) und überprüfen Sie die Signaturen.
• • Aktualisieren Sie Anmeldeinformationen, insbesondere für privilegierte Konten und Domänen-Admin-Konten; prüfen Sie auf Anmeldeinformationsaushöhlung.
• • Blockieren Sie ausgehenden C2-Verkehr zu dem bösartigen Host (hxxp://38.180.83[.]166).
• • Führen Sie ein vollständiges Audit des Domänencontrollers durch, um sicherzustellen, dass keine Hintertüren oder Persistenzmechanismen verbleiben.
• • Aktualisieren Sie Erkennungssignaturen in SIEM und Endpunkt-Tools für die beobachteten Tools und IOCs.
•  

Simulationsanweisungen

• Angriffserzählung & Befehle:

  1. Persistenz über msbuild.exe – Der Angreifer erstellt ein bösartiges XML-Projekt (evil.xml) das eine PowerShell-Nutzlast ausführt, um eine Hintertüren-DLL herunterzuladen.
  2. DLL-Sideloading mit vetysafe.exe – Eine bösartige DLL (evil.dll) wird neben vetysafe.exe platziert; die Ausführung von vetysafe.exe lädt die DLL, wodurch Code-Ausführung erreicht wird (T1055.001/T1574.001).
  3. Netzwerkaufklärung mit netstat.exe – Der Angreifer führt netstat -ano aus, um aktive Verbindungen aufzulisten und Daten für seitliche Bewegungen zu sammeln (T1049).

• Regressionstestskript:

  # ---------------------------------------------------------
  # Angriffssimulation – löst Sigma-Regel für vetysafe, msbuild, netstat aus
  # ---------------------------------------------------------
  
  # 1. Bereiten Sie bösartige DLL vor (einfacher Alarm für Demo)
  $dllPath = "$env:TEMPevil.dll"
  Set-Content -Path $dllPath -Value ([byte[]](0x4D,0x5A,0x90,0x00)) # Fake PE-Header
  
  # 2. Kopieren Sie vetysafe.exe (gehen Sie von einer Präsenz in C:WindowsSystem32 aus) in den Temporären Ordner
  $vetysafe = "$env:SystemRootSystem32vetysafe.exe"