Operation RestyLink: Erkennung einer APT-Kampagne gegen Japan
Inhaltsverzeichnis:
Seit April 2022 beobachten Forscher eine Reihe gezielter Cyberangriffe, die speziell auf japanische Organisationen abzielen. Die Kampagne, die als Operation RestyLink bezeichnet wird, ist vermutlich seit mindestens März 2022 aktiv, wobei verwandte bösartige Aktivitäten bis Oktober 2021 zurückverfolgt wurden. Die genaue Zuordnung ist derzeit unklar, aber die Angriffs-Kette und ihre hochgradig zielgerichtete Natur deuten darauf hin, dass eine hochentwickelte ATP für die bösartige Operation verantwortlich ist.
Erkenne Operation RestyLink
Um die bösartigen Aktivitäten im Zusammenhang mit den Persistenzmethoden der Operation RestyLink zu identifizieren, lade eine von unserem erfahrenen Threat Bounty-Entwickler bereitgestellte Sigma-Regel herunter Osman Demir.
Die oben genannte Sigma-Regel kann in 23 verschiedenen SIEM-, EDR- und XDR-Umgebungen genutzt werden und ist auf das MITRE ATT&CK-Framework abgebildet, das die Persistenztaktiken mit der entsprechenden Office-Anwendungsstart-Technik (T1137) anspricht.
Drücke denErforsche Erkennungen -Knopf, um die gesamte Liste von Erkennungsinhalten für aktuelle und aufkommende APT-Angriffe zu erhalten.
Angriffskette und Zuordnung
Laut der gründlichen inquiry durchgeführt von SOC-Analyst Rintaro Koike, beginnt der neueste RestyLink-Angriff mit einer Phishing-E-Mail. Die E-Mails enthalten bösartige URLs in ihrem Textkörper. Wenn das Opfer dazu verleitet wird, auf den Link zu klicken, wird ein ZIP-Archiv mit einer LNK-Datei vom Server des Angreifers heruntergeladen. Wird die Datei ausgeführt, legt die LNK-Datei eine DOT-Datei im Microsoft-Startup-Ordner ab und nutzt den Windows-Befehl. Gleichzeitig wird ein Ablenk-PDF auf dem Bildschirm angezeigt, um das Opfer von den verdächtigen Vorgängen im Hintergrund abzulenken.
Die Analyse ähnlicher Einbrüche, die im April 2022 und früher beobachtet wurden, zeigt, dass die Angreifer die gleiche Routine befolgen, jedoch verschiedene Dateitypen und Methoden verwenden. Zum Beispiel haben Bedrohungsakteure bösartige ISO-Dateien durch Phishing verbreitet, um eine EXE-Datei mit einer darin versteckten bösartigen DLL abzulegen. Die DLL erwies sich als ein UPX-gepackter Go-Downloader, der CobaltSrtike Stranger auf die infizierte Maschine ablegte.
Die gleiche Infrastruktur wurde während der Angriffe auf Japan im Januar-März 2022 sowie im Oktober-November 2021 genutzt. Sicherheitsexperten weisen auf die zielgerichtete Natur der Angriffe und ihre Raffinesse hin, wodurch das Fazit gezogen werden kann, dass APT-Akteure hinter der Operation stehen könnten. Die genaue Zuweisung ist derzeit unbekannt, aber mit geringem Vertrauensgrad weisen Forscher auf DarkHotel, Kimsuky, APT29, oder TA416 als mögliche Angriffsbetreiber hin.
Nutze die Kraft der kollaborativen Cyberabwehr und erhöhe die Geschwindigkeit deiner Bedrohungssuche, indem du SOC Primes Detection as Code-Plattformbeitrittst. Entdecke sofort nutzbare und relevante Informationen zu Cyber-Bedrohungen, greife auf dedizierte Sigma-Regeln und Übersetzungen für mehr als 25 SIEM-, EDR- und XDR-Lösungen zu und automatisiere deine Bedrohungssuche und Bedrohungserkennungsoperationen, um deine Cyberabwehrfähigkeiten zu verbessern.
