NG0002 Zielt Mit Einsatzfähigen Institutionellen Ködern auf Chinesische Wissenschaft

SOC Prime Team

Folgen

NG0002 Zielt Mit Einsatzfähigen Institutionellen Ködern auf Chinesische Wissenschaft

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Ein Bedrohungsakteur, der als UNG0002 verfolgt wird, startete eine Spear-Phishing-Kampagne gegen chinesische Universitäten, indem er ein bösartiges ZIP-Archiv als offizielle Fitness-Test-Benachrichtigung tarnte. Im Archiv befand sich eine LNK-Datei mit doppelter Erweiterung, die ein VBScript ausführte, welches dann Bandizip verwendete, um eine bösartige DLL zu sideloaden. Diese DLL führte Anti-Analyse-Überprüfungen durch, entschlüsselte eine im Speicher befindliche SFX-Nutzlast und setzte schließlich ein Cobalt Strike Beacon für Kommando-und-Kontroll-Aktivitäten ein. Der Angriff kombinierte Techniken des Living-off-the-Land mit auf Alibaba Cloud gehosteter Infrastruktur zur Unterstützung des Eindringens.

Untersuchung

Seqrite Labs untersuchte die Phishing-E-Mail, den Anhang und die gesamte Payload-Kette und enthüllte, dass explorer.exe verwendet wurde, um das VBS-Skript zu starten und Bandizip.exe wurde missbraucht, um die bösartige DLL zu hosten. Die Analysten dokumentierten umfangreiche Anti-Debugging-Überprüfungen, die designed wurden, um Analyseumgebungen zu umgehen, und kartierten den vollständigen Ausführungsfluss vom anfänglichen Köder bis zur endgültigen Beacon-Bereitstellung. Sie identifizierten auch die Infrastruktur, die mit der Kampagne verbunden ist, einschließlich der IP-Adresse 60.205.186.162 und der Domain lysander.asia, und verknüpften die Aktivität mit früheren UNG0002-Operationen. Zusätzliche Anreicherungen zeigten, dass der Kommando-und-Kontroll-Server auf Alibaba Cloud gehostet wurde und Feishu-bezogene MX-Einträge verwendete, was die Zuordnung zu einem Bedrohungsakteur aus China weiter unterstützt.

Minderung

Nicht Spezifiziert

Reaktion

Nicht Spezifiziert

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#e6e6e6 classDef process fill:#ffdd99 classDef malware fill:#ff9999 classDef network fill:#c2c2f0 %% Nodes u2013 Actions (Techniques) action_initial_access["Aktion – T1566.001 Spearphishing-Anhang E-Mail mit bösartigem ZIP wird an das Ziel gesendet"] class action_initial_access action action_user_execution["Aktion – T1204.002 Benutzerausführung Benutzer öffnet die LNK-Datei und denkt, es sei ein PDF"] class action_user_execution action action_masquerading["Aktion – T1036 Maskierung LNK ist eine doppelteu2011Erweiterung und wird als PDF angezeigt"] class action_masquerading action action_permission_hijack["Aktion – T1574.005 Schwäche bei den Berechtigungen von ausführbaren Installationsdateien Explorer.exe wird verwendet, um ein verstecktes VBS-Skript zu starten"] class action_permission_hijack action action_vbscript["Aktion – T1059.005 Visual Basic VBS öffnet das Köder-PDF und führt Bandizip aus"] class action_vbscript action action_lol["Aktion – T1218 Living off the Land Bandizip, ein legitimes Archivierungsprogramm, wird missbraucht"] class action_lol action action_hidden_files["Aktion – T1564.001 Versteckte Dateien und Verzeichnisse Nutzlast in tiefen, macOSu2011ähnlichen Ordnern platziert"] class action_hidden_files action action_dll_side_loading["Aktion – T1574.008 Pfadinterception durch Suchreihenfolgen-Hijacking / T1574.002 DLL-Seitenu2011Ladung Bandizip lädt bösartige ark.x64.dll"] class action_dll_side_loading action action_obfuscation["Aktion – T1027 Verschlüsselte Dateien oder Informationen DLL enthält verschlüsselte Zeichenfolgen und verschlüsselte SFX-Nutzlast"] class action_obfuscation action action_anti_analysis["Aktion – T1497 Virtualisierungs-/Sandbox-Ausweichung / T1497.001 Systemüberprüfungen / T1497.002 Benutzeraktivitätsüberprüfungen / T1622 Debugger-Ausweichung DLL sucht nach Debuggern, Analysetools und Sandbox-Artefakten"] class action_anti_analysis action action_process_discovery["Aktion – T1057 Prozessentdeckung Enumeriert laufende Prozesse zur Auffindung von Analysewerkzeugen"] class action_process_discovery action action_reflective_loading["Aktion – T1620 Reflektierendes Code-Laden Entschlüsselte SFX-Nutzlast wird direkt in den Speicher geladen"] class action_reflective_loading action action_c2["Aktion – T1071.001 Anwendungsschichtprotokoll: Webprotokolle Inu2011memory-Nutzlast etabliert HTTPS Cobaltu202fStrike Beacon"] class action_c2 action %% Nodes u2013 Dateien / Artefakte file_zip["Datei – bösartig.zip Enthält die bösartige LNK"] class file_zip file file_lnk["Datei – u5e38u5ddeu5927u5b662026u5e74u300au56fdu5bb6u5b66u751fu4f53u8d28u5065u5eb7u6807u51c6u300bu6d4bu8bd5u901au77e5.pdf.lnk"] class file_lnk file file_vbs["Datei – chromedo.vbs Visual-Basic-Skript, ausgeführt von Explorer"] class file_vbs file tool_bandizip["Werkzeug – Bandizip.exe Legitimer Archivierungsprogramm missbraucht, um bösartige DLL zu laden"] class tool_bandizip tool file_dll["Datei – ark.x64.dll Bösartige DLL, die per Seitenladung geladen wird"] class file_dll file malware_cobalt_strike["Malware – Cobaltu202fStrike Beacon Bietet Fernzugriff"] class malware_cobalt_strike malware %% Nodes u2013 Prozesse process_explorer["Prozess – explorer.exe"] class process_explorer process process_chromedo["Prozess – chromedo (VBS host)"] class process_chromedo process %% Nodes u2013 Netzwerk network_c2["Netzwerk – C2-Server 60.205.186.162 (lysander.asia) über HTTPS"] class network_c2 network %% Verbindungen u2013 Angriffsfluss file_zip –>|enthält| file_lnk file_lnk –>|ruft auf| process_explorer process_explorer –>|startet| file_vbs file_vbs –>|führt aus| tool_bandizip tool_bandizip –>|lädt| file_dll file_dll –>|aktiviert| action_obfuscation file_dll –>|führt aus| action_anti_analysis file_dll –>|löst aus| action_process_discovery file_dll –>|unterstützt| action_reflective_loading action_reflective_loading –>|lädt| malware_cobalt_strike malware_cobalt_strike –>|kommuniziert mit| network_c2 %% Verknüpfung von Aktionen, um die Abfolge zu zeigen action_initial_access –>|führt zu| action_user_execution action_user_execution –>|kombiniert mit| action_masquerading action_masquerading –>|ermöglicht| action_permission_hijack action_permission_hijack –>|löst aus| action_vbscript action_vbscript –>|verwendet| action_lol action_lol –>|erstellt| action_hidden_files action_hidden_files –>|erleichtert| action_dll_side_loading action_dll_side_loading –>|umfasst| action_obfuscation action_obfuscation –>|deckt ab| action_anti_analysis action_anti_analysis –>|führt zu| action_process_discovery action_process_discovery –>|geht voraus| action_reflective_loading action_reflective_loading –>|aktiviert| action_c2 action_c2 –>|etabliert Beacon mit| malware_cobalt_strike %% Klassenzuordnungen class action_initial_access action class action_user_execution action class action_masquerading action class action_permission_hijack action class action_vbscript action class action_lol action class action_hidden_files action class action_dll_side_loading action class action_obfuscation action class action_anti_analysis action class action_process_discovery action class action_reflective_loading action class action_c2 action class file_zip file class file_lnk file class file_vbs file class file_dll file class tool_bandizip tool class process_explorer process class process_chromedo process class malware_cobalt_strike malware class network_c2 network "

Angriffsfluss

Angriffserzählung & Befehle:
Ein Angreifer liefert eine bösartige DLL (benannt evil.dll), die von einem vertrauenerweckenden Hostprozess geladen wird (rundll32.exe). Die DllMain der DLL ruft sofort CreateToolhelp32Snapshot auf, gefolgt von Substring) und beendet, wenn gefunden – eine klassische um alle laufenden Prozesse zu durchsuchen. Die Enumerationsschleife überprüft jeden Prozessnamen auf das Vorhandensein eines Debuggers ( technik (T1622). Da die DLL von geladen wird Substring) und beendet, wenn gefunden - eine klassische Debugger-Ausweichungstechnik (T1622). Da die DLL von geladen wird substring) and exits if found – a classic , enthält das von Sysmon aufgezeichnete Prozess-Erstellungsereignis die Regressionstest-Skript: rundll32.exeFelder für die beiden nativen APIs, wobei die Erkennungsregel erfüllt wird. Regressionstest-Skript: # ————————————————- # Schritt 1: Erstellen Sie den C-Quellcode für die bösartige DLL # ————————————————- $dllSource = @“ #include <windows.h> #include <tlhelp32.h> BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { if (ul_reason_for_call == DLL_PROCESS_ATTACH) { HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hSnap == INVALID_HANDLE_VALUE) return FALSE; PROCESSENTRY32 pe = {0}; pe.dwSize = sizeof(PROCESSENTRY32); if (Process32First(hSnap, &pe)) { do { // Einfacher Anti-DBG-Check – Suche nach ‚dbg‘ im Prozessnamen if (wcsstr(pe.szExeFile, L“dbg“)) { // Debugger erkannt; Schleife beenden break; } } while (Process32Next(hSnap, &pe)); } CloseHandle(hSnap); } return TRUE; } „@ $srcPath = „$env:Tempevil.c“ $dllPath = „$env:Tempevil.dll“ $srcPath | Out-File -Encoding ascii -FilePath $srcPath -Force Set-Content -Path $srcPath -Value $dllSource # ————————————————- # Schritt 2: Kompilieren Sie die DLL mit Visual C++ (cl.exe) # ————————————————- # Stellen Sie sicher, dass die Visual Studio Build Tools installiert und die Umgebung eingerichtet sind. # Beispiel mit dem Developer Command Prompt: # cl.exe /LD /O2 /MD evil.c /link /OUT:evil.dll # Für die Automatisierung innerhalb von PowerShell verwenden Sie die MSVC-Build-Tools: $vcvars = „${env:ProgramFiles(x86)}Microsoft Visual Studio2019BuildToolsVCAuxiliaryBuildvcvars64.bat“ & cmd /c „`“$vcvars`“ && cl.exe /LD /O2 /MD `“$srcPath`“ /link /OUT:`“$dllPath`““ ` | Out-Null if (-Not (Test-Path $dllPath)) { Write-Error „DLL-Kompilierung fehlgeschlagen.“ exit 1 } # ————————————————- # Schritt 3: Führen Sie die bösartige DLL über rundll32.exe aus # ————————————————- $rundll = „$env:SystemRootSystem32rundll32.exe“ & $rundll $dllPath,Einstiegspunkt # ————————————————- # Schritt 4: Pause, damit Sysmon das Ereignis aufzeichnen kann # ————————————————- Start-Sleep -Seconds 5
Das Skript kompiliert eine minimale DLL, die die gezielten API-Aufrufe durchführt, und lädt sie dann mit
```
. Das kurze Schlafen stellt sicher, dass Sysmon Zeit hat, das Prozess-Erstellungsereignis aufzuzeichnen.
```
Aufräumbefehle: rundll32.exe# Entfernen von erstellten Artefakten Remove-Item -Force -ErrorAction SilentlyContinue $env:Tempevil.c Remove-Item -Force -ErrorAction SilentlyContinue $env:Tempevil.dll # Optional: Sysmon neu starten, um festgefahrene Handles zu entfernen (in den meisten Fällen nicht erforderlich) Stop-Service -Name Sysmon -Force Start-Service -Name Sysmon

Angriffsfluss

"graph TB
%% Class definitions
classDef action fill:#99ccff
classDef tool fill:#ffcc99
classDef file fill:#e6e6e6
classDef process fill:#ffdd99
classDef malware fill:#ff9999
classDef network fill:#c2c2f0

%% Nodes u2013 Actions (Techniques)
action_initial_access["<b>Aktion</b> - <b>T1566.001 Spearphishing-Anhang</b><br/>E-Mail mit bösartigem ZIP wird an das Ziel gesendet"] 
class action_initial_access action

action_user_execution["<b>Aktion</b> - <b>T1204.002 Benutzerausführung</b><br/>Benutzer öffnet die LNK-Datei und denkt, es sei ein PDF"] 
class action_user_execution action

action_masquerading["<b>Aktion</b> - <b>T1036 Maskierung</b><br/>LNK ist eine doppelteu2011Erweiterung und wird als PDF angezeigt"] 
class action_masquerading action

action_permission_hijack["<b>Aktion</b> - <b>T1574.005 Schwäche bei den Berechtigungen von ausführbaren Installationsdateien</b><br/>Explorer.exe wird verwendet, um ein verstecktes VBS-Skript zu starten"] 
class action_permission_hijack action

action_vbscript["<b>Aktion</b> - <b>T1059.005 Visual Basic</b><br/>VBS öffnet das Köder-PDF und führt Bandizip aus"] 
class action_vbscript action

action_lol["<b>Aktion</b> - <b>T1218 Living off the Land</b><br/>Bandizip, ein legitimes Archivierungsprogramm, wird missbraucht"] 
class action_lol action

action_hidden_files["<b>Aktion</b> - <b>T1564.001 Versteckte Dateien und Verzeichnisse</b><br/>Nutzlast in tiefen, macOSu2011ähnlichen Ordnern platziert"] 
class action_hidden_files action

action_dll_side_loading["<b>Aktion</b> - <b>T1574.008 Pfadinterception durch Suchreihenfolgen-Hijacking</b> / <b>T1574.002 DLL-Seitenu2011Ladung</b><br/>Bandizip lädt bösartige ark.x64.dll"] 
class action_dll_side_loading action

action_obfuscation["<b>Aktion</b> - <b>T1027 Verschlüsselte Dateien oder Informationen</b><br/>DLL enthält verschlüsselte Zeichenfolgen und verschlüsselte SFX-Nutzlast"] 
class action_obfuscation action

action_anti_analysis["<b>Aktion</b> - <b>T1497 Virtualisierungs-/Sandbox-Ausweichung</b> / <b>T1497.001 Systemüberprüfungen</b> / <b>T1497.002 Benutzeraktivitätsüberprüfungen</b> / <b>T1622 Debugger-Ausweichung</b><br/>DLL sucht nach Debuggern, Analysetools und Sandbox-Artefakten"] 
class action_anti_analysis action

action_process_discovery["<b>Aktion</b> - <b>T1057 Prozessentdeckung</b><br/>Enumeriert laufende Prozesse zur Auffindung von Analysewerkzeugen"] 
class action_process_discovery action

action_reflective_loading["<b>Aktion</b> - <b>T1620 Reflektierendes Code-Laden</b><br/>Entschlüsselte SFX-Nutzlast wird direkt in den Speicher geladen"] 
class action_reflective_loading action

action_c2["<b>Aktion</b> - <b>T1071.001 Anwendungsschichtprotokoll: Webprotokolle</b><br/>Inu2011memory-Nutzlast etabliert HTTPS Cobaltu202fStrike Beacon"] 
class action_c2 action

%% Nodes u2013 Dateien / Artefakte
file_zip["<b>Datei</b> - bösartig.zip<br/>Enthält die bösartige LNK"] 
class file_zip file

file_lnk["<b>Datei</b> - u5e38u5ddeu5927u5b662026u5e74u300au56fdu5bb6u5b66u751fu4f53u8d28u5065u5eb7u6807u51c6u300bu6d4bu8bd5u901au77e5.pdf.lnk"] 
class file_lnk file

file_vbs["<b>Datei</b> - chromedo.vbs<br/>Visual-Basic-Skript, ausgeführt von Explorer"] 
class file_vbs file

tool_bandizip["<b>Werkzeug</b> - Bandizip.exe<br/>Legitimer Archivierungsprogramm missbraucht, um bösartige DLL zu laden"] 
class tool_bandizip tool

file_dll["<b>Datei</b> - ark.x64.dll<br/>Bösartige DLL, die per Seitenladung geladen wird"] 
class file_dll file

malware_cobalt_strike["<b>Malware</b> - Cobaltu202fStrike Beacon<br/>Bietet Fernzugriff"] 
class malware_cobalt_strike malware

%% Nodes u2013 Prozesse
process_explorer["<b>Prozess</b> - explorer.exe"] 
class process_explorer process

process_chromedo["<b>Prozess</b> - chromedo (VBS host)"] 
class process_chromedo process

%% Nodes u2013 Netzwerk
network_c2["<b>Netzwerk</b> - C2-Server 60.205.186.162 (lysander.asia) über HTTPS"] 
class network_c2 network

%% Verbindungen u2013 Angriffsfluss
file_zip -->|enthält| file_lnk
file_lnk -->|ruft auf| process_explorer
process_explorer -->|startet| file_vbs
file_vbs -->|führt aus| tool_bandizip
tool_bandizip -->|lädt| file_dll
file_dll -->|aktiviert| action_obfuscation
file_dll -->|führt aus| action_anti_analysis
file_dll -->|löst aus| action_process_discovery
file_dll -->|unterstützt| action_reflective_loading
action_reflective_loading -->|lädt| malware_cobalt_strike
malware_cobalt_strike -->|kommuniziert mit| network_c2

%% Verknüpfung von Aktionen, um die Abfolge zu zeigen
action_initial_access -->|führt zu| action_user_execution
action_user_execution -->|kombiniert mit| action_masquerading
action_masquerading -->|ermöglicht| action_permission_hijack
action_permission_hijack -->|löst aus| action_vbscript
action_vbscript -->|verwendet| action_lol
action_lol -->|erstellt| action_hidden_files
action_hidden_files -->|erleichtert| action_dll_side_loading
action_dll_side_loading -->|umfasst| action_obfuscation
action_obfuscation -->|deckt ab| action_anti_analysis
action_anti_analysis -->|führt zu| action_process_discovery
action_process_discovery -->|geht voraus| action_reflective_loading
action_reflective_loading -->|aktiviert| action_c2
action_c2 -->|etabliert Beacon mit| malware_cobalt_strike

%% Klassenzuordnungen
class action_initial_access action
class action_user_execution action
class action_masquerading action
class action_permission_hijack action
class action_vbscript action
class action_lol action
class action_hidden_files action
class action_dll_side_loading action
class action_obfuscation action
class action_anti_analysis action
class action_process_discovery action
class action_reflective_loading action
class action_c2 action

class file_zip file
class file_lnk file
class file_vbs file
class file_dll file

class tool_bandizip tool

class process_explorer process
class process_chromedo process

class malware_cobalt_strike malware

class network_c2 network
"

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten