Chinesische APT zielen weltweit auf 5G-Anbieter
Inhaltsverzeichnis:
McAfee Advanced Threat Research (ATR) Strategic Intelligence Team hat aufgedeckt eine langanhaltende Cyber-Spionage-Operation entdeckt, die große Telekommunikationsanbieter weltweit ins Visier nimmt. Laut Sicherheitsexperten haben von der chinesischen Regierung unterstützte Hacker Malware in die Netzwerke mehrerer Telekommunikationsunternehmen in den USA, der EU und Südostasien eingeschleust, um Aufklärungsarbeiten durchzuführen und geheime Informationen im Zusammenhang mit der 5G-Technologie zu stehlen. Die bösartige Kampagne wurde vermutlich im Auftrag der Regierung in Peking gestartet, als Reaktion auf das Verbot chinesischer Technologie innerhalb der 5G-Einführungen in den angegriffenen Regionen.
Überblick Operation Dianxun
Eine eingehende Analyse der Taktiken, Techniken und Verfahren (TTPs) verbindet die Kampagne mit dem chinesischen APT-Akteur, der als Mustang Panda oder RedDelta bekannt ist. Zuvor wurde dieses Hacker-Kollektiv beim Angriff auf katholische Organisationen, mongolische NGOs und in den USA ansässige Think Tanks gesehen. Im August 2020 verlagerte die Gruppe ihre Aktivitäten jedoch auf bösartige Handlungen im Zusammenhang mit der Operation Dianxun, bei der Dutzende von Telekommunikationsfirmen angegriffen wurden, um ihre Netzwerke auszuspionieren.
Der anfängliche Infektionsvektor ist derzeit unbekannt, jedoch vermuten McAfee-Experten, dass Angreifer die Opfer auf eine Phishing-Domain umleiten, die bösartige Software auf ihre Systeme liefert. Insbesondere werden Benutzer dazu gebracht, eine gefälschte Webseite zu besuchen, die als Karriere-Seite von Huawei getarnt ist. Diese Seite verleitet die Opfer dazu, eine gefälschte Flash-Anwendung herunterzuladen, die als Loader fungiert und ein DotNet-Dienstprogramm auf die Zielmaschine ablegt. Das DotNet-Tool wird verwendet, um Persistenz zu erlangen, Aufklärung durchzuführen und Backdoors der zweiten Stufe in das kompromittierte Netzwerk zu laden. Die detaillierte Analyse zeigt, dass DotNet in den meisten Fällen ein Cobalt-Strike-Angriffskit in Form einer base64-codierten gzip-Datei liefert. Chinesische Hacker nutzen Cobalt Strike in den letzten Phasen des Eindringens, um im kompromittierten Netzwerk lateral zu wandern und nach wertvollen Daten zu suchen, die mit der 5G-Technologie verbunden sind.
Sicherheitsexperten stellen fest, dass Huawei selbst in keiner Weise mit dieser bösartigen Operation verbunden ist und tatsächlich ein Opfer der schändlichen Aktionen ist. Darüber hinaus glauben Forscher, dass die Kampagne noch im Gange ist, da kürzlich bösartige Aktivitäten auf der Grundlage der gleichen TTPs beobachtet wurden.
Erkennung von Operation Dianxun-Angriffen
Um mögliche Angriffe im Zusammenhang mit der Operation Dianxun zu erkennen, hat unser aufmerksamer Threat Bounty-Entwickler Emir Erdogan eine dedizierte Sigma-Regel für die Community veröffentlicht:
https://tdm.socprime.com/tdm/info/LQ0ejPlvFevz/0xgrRXgBhYIRj3KqhBZW
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Taktiken: Ausführung, Persistenz, Privilegieneskalation
Techniken: Geplanter Task (T1053)
Abonnieren Sie den Threat Detection Marketplace, die branchenweit erste SaaS-Plattform, die über 100.000 Erkennungs- und Reaktionsregeln aggregiert, die leicht in verschiedene Formate konvertiert werden können. Möchten Sie Ihre eigenen Erkennungsinhalte erstellen und zu globalen Threat-Hunting-Initiativen beitragen? Treten Sie unserem Threat Bounty-Programm bei und lassen Sie sich für Ihren Beitrag belohnen!
