Erkennung von Weaver Ant Angriffen: China-verbundene Gruppe zielt mit mehreren Web-Shells, einschließlich China Chopper, auf einen Telekommunikationsanbieter in Asien ab
Inhaltsverzeichnis:
APT Gruppen aus China wurden neben Nordkorea, Russland und Iran als führende globale Cyber-Bedrohungen eingestuft und zeigen erhöhte offensive Fähigkeiten, die signifikante Herausforderungen für die Cybersicherheit darstellen. Nach der jüngsten Enthüllung der Operation AkaiRyū durch MirrorFace (alias Earth Kasha), schlagen Angreifer mit China-Anbindung erneut zu. Diesmal berichten Sicherheitsforscher über die lang anhaltende offensive Operation der Weaver Ant-Gruppe, die jahrelang im Netzwerk eines Telekommunikationsdienstleisters für Cyber-Spionage aktiv war.
Erkennung von Weaver Ant-Angriffen
Inmitten steigender geopolitischer Spannungen haben von Staaten unterstützte Bedrohungsakteure ihre bösartigen Aktivitäten intensiviert und setzen fortschrittliche Techniken ein, um ihre strategischen Ziele zu erreichen. Cyber-Spionage ist zu einem vorrangigen Fokus geworden, wobei Operationen zunehmend gezielter und verdeckter werden. Ein jüngstes Beispiel ist die Weaver Ant APT-Operation, die ausgeklügelte Web-Shell-Taktiken nutzte, um einen großen Telekommunikationsanbieter in Asien zu infiltrieren. Dieser Vorfall unterstreicht die eskalierende Komplexität und Präzision von Cyber-Bedrohungen in der heutigen geopolitischen Landschaft.
Um aufkommende Bedrohungen zu übertreffen und potenziellen Weaver Ant-Angriffen einen Schritt voraus zu sein, bietet die SOC Prime Plattform eine Reihe relevanter Sigma-Regeln, die die TTPs des Bedrohungsakteurs adressieren. Klicken Sie einfach auf die Erkunden Sie Erkennungen Schaltfläche unten, um sofort auf eine dedizierte Reihe von Regeln zuzugreifen.
Die Regeln sind mit mehreren SIEM-, EDR- und Data Lake-Lösungen kompatibel und auf MITRE ATT&CK® abgebildet, um die Bedrohungsuntersuchung zu optimieren. Erkennungen werden auch mit umfangreichen Metadaten angereichert, darunter CTI Links, Angriffszeitachsen, Triagempfehlungen und mehr.
Sicherheitsfachleute, die nach weiterem Erkennungsinhalt suchen, der TTPs von staatlich unterstützen Akteuren adressiert, können den Threat Detection Marketplace mit dem Schlagwort „APT“ durchsuchen, um in eine breitere Sammlung von Erkennungsalgorithmen und Echtzeit-Bedrohungsinformationen einzutauchen, die durch eine vollständige Produktsuite für KI-gestützte Erkennungsentwicklung, automatisierte Bedrohungssuche und fortgeschrittene Bedrohungserkennung unterstützt wird.
Analyse der Weaver Ant-Angriffe
Die China-verbundene Hackergruppe durch Sygnia verfolgt als Weaver Ant wurde beobachtet, wie sie fortschrittliche has been observed employing advanced Web-Shell- Taktiken einsetzt, um einen großen Telekommunikationsanbieter in Asien ins Visier zu nehmen. Die Angreifer zeigten bemerkenswerte Hartnäckigkeit gegen mehrere Eradikationsmaßnahmen und infiltrierten das Netzwerk über vier Jahre. Sie nutzten ein unprovisioniertes ORB-Netzwerk, um den Verkehr zu proxyieren und ihre Infrastruktur zu verbergen, hauptsächlich durch den Einsatz kompromittierter Zyxel CPE-Router von südostasiatischen Telekommunikationsanbietern, was ihnen ermöglichte, zwischen den Telekommunikationsanbietern zu wechseln.
Weaver Ant setzte mehrere Payloads ein, darunter grundlegende Web-Shells als Kanäle für fortschrittlichere Payloads, wie ein rekursives Tunneling-Tool, das HTTP-Tunneling ermöglichte, um auf interne Ressourcen zuzugreifen. Letzteres ermöglichte es den Hackern, sich nahtlos durch verschiedene Web-Umgebungen zu bewegen und operationelle Anpassungsfähigkeit beizubehalten. Weaver Ant setzte auch Web-Shells für die seitliche Bewegung ein. Weaver Ant nutzte Abwehrumgehungsmethoden, um Daten unbemerkt zu exfiltrieren, wie passives Netzwerkverkehrserfassen über Port-Spiegelung. Anstatt eigenständige Web-Shells zu verwenden, setzte Weaver Ant eine Technik namens „Web-Shell-Tunneling“ ein, die den Verkehr zwischen Servern über verschiedene Netzwerksegmente leitet und ein verstecktes C2-Netzwerk schafft. Jede Shell fungiert als Proxy, der verschlüsselte Payloads für eine tiefere Netzwerkausbeutung weiterleitet. Zusätzlich dazu Weaver Ant setzte Trojanisierte DLLs ein, um Systeme zu infizieren.
Forscher, die die Verletzung untersuchten, entdeckten mehrere Varianten des China Chopper Backdoor sowie eine neue, benutzerdefinierte Web-Shell namens „INMemory“, die Payloads direkt im Speicher des Hosts ausführt. Gegner erlangten Zugriff auf das Netzwerk durch die Bereitstellung eines AES-verschlüsselten China-Chopper-Web-Shell-Iterations, die die Fernsteuerung von Servern ermöglichte und Firewall-Schutzmaßnahmen umging.
China Chopper bietet fortschrittliche offensive Fähigkeiten wie Dateiverwaltung, Befehlsausführung und Datenexfiltration. Seine kompakte Größe und unauffällige Natur machen es perfekt, um dauerhaften Zugang zu erhalten, weitere Ausbeutung zu ermöglichen und der Entdeckung durch konventionelle Sicherheitssysteme zu entgehen. Seine Vielseitigkeit und einfache Nutzung haben es zu einem beliebten Werkzeug gemacht, um eine Vielzahl von bösartigen Aktivitäten auf kompromittierten Systemen auszuführen. Die zweite Web-Shell namens „INMemory“ arbeitet, indem sie einen festkodierten GZipped Base64-String in eine Portable Executable (PE) namens ‚eval.dll‘ dekodiert, die sie dann vollständig im Speicher ausführt, um der Entdeckung zu entgehen.
Darüber hinaus nutzte Weaver Ant SMB-Freigaben und langjährige hochprivilegierte Konten, die oft durch NTLM-Hashes authentifiziert wurden, um sich seitlich innerhalb des Netzwerks zu bewegen. Über vier Jahre hinweg sammelten sie Konfigurationsdateien, Protokolle und Anmeldeinformationen, um die Umgebung zu erfassen und Schlüsselsysteme anzugreifen. Die Gruppe konzentrierte sich auf Netzwerkauskunft und kontinuierlichen Zugang zur Telekommunikationsinfrastruktur, anstatt Benutzerdaten zu stehlen, im Einklang mit staatlich geförderter Spionage.
Die gestiegene Raffinesse der Weaver Ant-Angriffe und die Nutzung fortschrittlicher Erkennungsumgehungstechniken erfordern eine hohe Reaktionsfähigkeit der Verteidiger. Um die Risiken von Weaver Ants hochgradig beständiger Aktivität zu minimieren, empfehlen Verteidiger die Implementierung interner Netzwerkverkehrskontrollen, die Aktivierung vollständiger IIS- und PowerShell-Protokollierung, die Durchsetzung des Prinzips des minimalen Privilegs und das häufige Wechseln von Benutzeranmeldeinformationen. Organisationen können sich auf das vollständige Produktpaket von SOC Prime stützen, das durch KI unterstützt und modernste Technologien kombiniert, um das Cybersicherheitsposture der Organisation risikologisch zu optimieren.
