Erkennung von Billbug-Angriffen: Mit China in Verbindung stehende Spionageakteure zielen auf Organisationen in Südostasien ab
Inhaltsverzeichnis:
ESETs APT-Aktivitätsbericht für Q2-Q3 2024 hebt China-affiliierte Gruppen hervor, die global führend sind APT Betrieb, wobei Kampagnen zur Informationsbeschaffung zu den häufigsten und beharrlichsten Bedrohungen gehören. Die mit China in Verbindung stehende Spionagegruppe, bekannt als Billbug, wurde dabei beobachtet, wie sie im August 2024 und Februar 2025 mehrere Organisationen in Südostasien über verschiedene Branchen hinweg mit neuartigen maßgeschneiderten Werkzeugen kompromittierte, z. B. Lader, infostehlende Malwareund ein Reverse-SSH-Dienstprogramm.
Erkennen von Billbug-Angriffen durch China-verbundene Bedrohungsakteure
Mit den weltweit steigenden Spannungen werden von Staaten gesponserte Bedrohungsakteure in ihren Methoden immer aktiver und ausgeklügelter. Cyber-Spionage steht im Mittelpunkt, wobei die Angriffe gezielter und schwieriger zu erkennen werden. Ein aktuelles Beispiel ist eine Kampagne der China-verbundenen Billbug-Gruppe, die sich auf Organisationen in ganz Asien konzentriert hat.
Um aufkommende Bedrohungen zu übertreffen und potenziellen Billbug-Angriffen auf Ihre Organisation voraus zu sein, bietet die SOC Prime Platform eine Reihe relevanter Sigma-Regeln, die die TTPs der Angreifer adressieren. Drücken Sie die Explore Detections Schaltfläche unten, um sofort auf das dedizierte Regelsatz zuzugreifen.
Die Regeln sind mit mehreren SIEM-, EDR- und Data Lake-Lösungen kompatibel und auf MITRE ATT&CK® abgebildet, um die Bedrohungsuntersuchung zu erleichtern. Die Erkennungen sind auch mit umfangreichen Metadaten angereichert, einschließlich CTI Links, Angriffszeitpläne, Zuordnungsempfehlungen und mehr.
Sicherheitsfachleute, die auf der Suche nach mehr Erkennungsinhalten sind, die sich mit von staatlich unterstützten Akteuren genutzten TTPs befassen, können den Threat Detection Marketplace mit dem Tag „APT“ durchsuchen, um eine breitere Sammlung von Erkennungsalgorithmen und Echtzeit-Bedrohungsinformationen zu erforschen, die von einem kompletten Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung unterstützt werden.
Billbug-Angriffsanalyse
Die von China unterstützte Gruppe, verfolgt als Billbug (auch bekannt als Lotus Blossom, Lotus Panda, Bronze Elgin, Spring Dragon oder Thrip), hat eine Reihe von Cyber-Spionageangriffen gegen Organisationen in Südostasien durchgeführt und dabei ein Ministerium, eine Flugverkehrskontrollagentur, einen Telekommunikationsanbieter und ein Bauunternehmen infiltriert. Die Gegner haben auch eine Nachrichtenagentur in einem südostasiatischen Land und einen Luftfrachtbetreiber in einem Nachbarland kompromittiert, mit einer Suite maßgeschneiderter Werkzeuge, darunter Lader, Anmeldeinformationsdiebe und ein Reverse-SSH-Dienstprogramm.
Billbug ist seit mindestens 2009 in der Cyberbedrohungssphäre aktiv. Früher wurde beobachtet, wie Billbug PsExec zur Bereitstellung von Infostealer.Catchamas verwendete, was zur Entdeckung weiterer Einbrüche in den USA und Südostasien in den Bereichen Verteidigung, Geoinformation und Telekommunikation führte. Seit 2019 hat Billbug benutzerdefinierte Backdoors wie Hannotog und Sagerunex zusammen mit sich entwickelnden Persistenz-Shells verwendet, um militärische, mediale und Bildungseinrichtungen in ganz Asien anzugreifen. Ihre Operationen haben erfolgreich staatliche Stellen, Fertigung, Telekommunikation und Medieneinrichtungen auf den Philippinen, in Vietnam, Hongkong und Taiwan getroffen. Im Jahr 2022 kompromittierte die Gruppe bemerkenswert eine Zertifizierungsstelle, was Bedenken hinsichtlich des möglichen Missbrauchs digitaler Zertifikate für unauffällige Angriffe aufwarf.
Bei einigen der Einbrüche der Gruppe missbrauchten die Angreifer legitime Trend Micro- und Bitdefender-Executable, um bösartige DLLs zu sideloaden. Varianten von log.dll und einem anderen Modul, sqlresourceloader.dll, wurden ebenfalls beim Sideloading beobachtet. Die jüngste Forschung von Symantec zeigt, dass während Angriffe gegen Südostasien die Gruppe ChromeKatz und CredentialKatz einsetzte, um Chrome-Anmeldeinformationen und Cookies zu sammeln, zusammen mit einem benutzerdefinierten Reverse-SSH-Listener auf Port 22. Darüber hinaus nutzten die Gegner das öffentliche Zrok P2P-Tunneling-Tool, um interne Dienste zu exponieren, und datechanger.exe , um Datei-Timestamps zu fälschen und forensische Analysen zu erschweren.
Ein Anstieg der mit China-verbundenen Cyber-Spionage-Aktivitäten gibt weiterhin Anlass zur Sorge auf der globalen Cybersicherheitslandschaft. Die Billbug-APT-Gruppe, die seit mindestens 2009 aktiv ist, hat ihre Operationen intensiviert und zielt auf kritische Sektoren in Südostasien ab, darunter Regierung, Telekommunikation, Luftfahrt und Medien. Mit maßgeschneiderten Tools, Anmeldeinformationsdieben, Reverse-SSH-Listenern und sideloaded Malware zeigt die Gruppe einen konsequenten Fokus auf Unauffälligkeit und Persistenz. Dies unterstreicht die dringende Notwendigkeit für Organisationen, ihre Abwehrmaßnahmen zu verstärken und den sich entwickelnden APT-Taktiken einen Schritt voraus zu sein. Organisationen können sich auf das komplette Produktsuite von SOC Primeverlassen, die von KI unterstützt und mit modernsten Technologien kombiniert wird, um die Cybersicherheits-Haltung der Organisation risikoorientiert zu optimieren.
