Crosswalk bagdør

Infosec-forskere afdækkede en tidligere ukendt bagdørstrussel, der blev brugt i en række angreb fra en kinesisk-baseret trusselsaktør. De truende operationer var overvejende rettet mod udviklere og udgivere af videospil fra Hong Kong og Rusland. Under de fire forskellige angreb anvendte hackerne flere forskellige malware-stammer, hvilket gjorde det vanskeligere at tilskrive kampagnen til en bestemt trusselsaktør.

I maj 2020 lancerede hackerne to separate angreb. Den første var afhængig af LNK-genveje, der hentede og udførte den sidste truende nyttelast, mens den anden operation anvendte en lidt mere sofistikeret angrebskæde. Hackerne distribuerede e-mails med et truende RAR-arkiv som en vedhæftet fil. Inde i arkivet var der to genveje til PDF-filer, der fungerede som lokkefugle, der foregav at være et CV og et IELTS-certifikat. Genvejenes egentlige formål var at oprette forbindelse til Zeplin, et legitimt værktøj, der bruges af udviklere til samarbejde. Hackerne var vært for på Zeplin deres sidste nyttelast, som bestod af en shellcode loader-fil - 'svchast.exe' og Crosswalk, en bagdør malware, der lurer inde i en fil ved navn '3t54dE3r.tmp.'

Crosswalk er ikke en ny malware-stamme, da den først blev opdaget tilbage i 2017. Kernen er truslen en ekstremt strømlinet modulær bagdør, der er i stand til at udføre rekognosceringsaktiviteter på kompromitterede computere. På grund af sin modulære karakter kan Crosswalks funktionalitet imidlertid tilpases til cyberkriminelernes særlige dagsorden ved at hente yderligere moduler fra Command-and-Control (C2, C&C) -infrastrukturen i kampagnen i shellcode-form.

At finde gruppen bag angrebene

Crosswalks implementering gav endelig infosec-forskere tillid til at forbinde angrebene med den kinesiske hackergruppe kendt som APT41 eller Winnti. Faktisk, udelukkende at dømme ud fra aspekterne af det oprindelige angreb, pegede tegnene mest på de koreanske hackere, der tilhører Higaisa-gruppen, som er kendt for at bruge LNK-genveje i deres operationer. Tilstedeværelsen af Crosswalk og noget overlapning i infrastruktur mellem tidligere Winnti-kampagner og disse serier af angreb afskrækkede forskerne fra deres oprindelige formodning og pegede dem mod den sandsynlige skyldige. Målene er også i overensstemmelse med tidligere Winnti-ofre, der også opererede i videospilindustrien.

Gruppens aktuelle aktivitet er stadig i gang. I de nyere angreb har den indsatte malware-nyttelast ændret sig igen. Indtil videre er truende RAR-arkiver med en variant af Cobal Strike Beacon blevet observeret i nogle tilfælde. I andre brugte hackerne kompromitterede certifikater fra et taiwansk firma kaldet Zealot Digital for at starte strejker mod ofre i Honk Kong og leverede Crosswalk og Metasploit . En overflod af anden malware er også blevet udrustet, herunder ShadowPad, Paranoid PlugX og FunnySwitch, en tidligere ukendt .NET bagdørstrussel.