Threat Database Backdoors Oversteekplaats achterdeur

Oversteekplaats achterdeur

Infosec-onderzoekers ontdekten een voorheen onbekende achterdeurdreiging die werd gebruikt in een reeks aanvallen door een in China gevestigde dreigingsacteur. De dreigende operaties waren voornamelijk gericht op ontwikkelaars van videogames en uitgevers uit Hongkong en Rusland. Tijdens de vier verschillende aanvallen gebruikten de hackers verschillende soorten malware, waardoor het moeilijker werd de campagne aan een bepaalde bedreigingsacteur toe te schrijven.

In mei 2020 lanceerden de hackers twee afzonderlijke aanvallen. De eerste vertrouwde op LNK-snelkoppelingen die de laatste bedreigende lading ophaalden en uitvoerden, terwijl de tweede operatie een iets geavanceerdere aanvalsketen gebruikte. De hackers verspreidden e-mails met een dreigend RAR-archief als bijlage. In het archief waren twee snelkoppelingen naar pdf's die fungeerden als lokvogels die zich voordeden als een cv en een IELTS-certificaat. Het echte doel van de snelkoppelingen was om verbinding te maken met Zeplin, een legitieme tool die door ontwikkelaars wordt gebruikt voor samenwerkingen. De hackers hosten op Zeplin hun payload in de laatste fase, die bestond uit een shellcodeladerbestand - 'svchast.exe', en Crosswalk, een achterdeur-malware die op de loer lag in een bestand met de naam '3t54dE3r.tmp'.

Crosswalk is geen nieuwe malware-soort, aangezien deze voor het eerst werd ontdekt in 2017. De kern van de dreiging is een extreem gestroomlijnde modulaire achterdeur die verkenningsactiviteiten kan uitvoeren op gecompromitteerde computers. Vanwege het modulaire karakter kan de functionaliteit van Crosswalk echter worden aangepast aan de specifieke agenda van cybercriminelen door extra modules op te halen uit de Command-and-Control (C2, C&C) -infrastructuur van de campagne in shellcodevorm.

De groep achter de aanvallen vinden

De inzet van Crosswalk gaf infosec-onderzoekers eindelijk het vertrouwen om de aanvallen te koppelen aan de Chinese hackergroep die bekend staat als APT41 of Winnti. Inderdaad, alleen te oordelen naar de aspecten van de eerste aanval, wezen de signalen voornamelijk op de Koreaanse hackers die tot de Higaisa-groep behoren, die bekend staan om het gebruik van LNK-snelkoppelingen bij hun activiteiten. De aanwezigheid van Crosswalk en enige overlap in infrastructuur tussen eerdere Winnti-campagnes en deze reeks aanvallen ontmoedigde de onderzoekers van hun oorspronkelijke vermoeden en wees hen op de waarschijnlijke dader. De doelen zijn ook consistent met eerdere Winnti-slachtoffers die ook actief waren in de videogame-industrie.

De huidige activiteit van de groep loopt nog. Bij de meer recente aanvallen is de gebruikte malware-payload opnieuw veranderd. Tot dusver zijn in sommige gevallen bedreigende RAR-archieven met een variant van de Cobal Strike Beacon waargenomen. In andere gevallen maakten de hackers gebruik van gecompromitteerde certificaten van een Taiwanees bedrijf genaamd Zealot Digital om aanvallen uit te voeren tegen slachtoffers in Honk Kong, met Crosswalk en Metasploit . Een overvloed aan andere malware is ook bewapend, waaronder ShadowPad, Paranoid PlugX en FunnySwitch, een voorheen onbekende .NET-backdoor-bedreiging.

Trending

Meest bekeken

Bezig met laden...