Wrede Panda

Er zijn de afgelopen maanden verschillende verhalen geweest over cybercriminelen die de zeer reële dreiging van het Coronavirus gebruiken om malware en ransomware te verspreiden . Deze bedreigingen zijn over de hele wereld verspreid, maar er zijn er vooral uit China gekomen. Tot het punt dat de door de staat gesponsorde Chinese hackgroep Vicious Panda is begonnen hun eigen malware te verspreiden via het coronavirus.

De informatie over de aanval is afkomstig van Check Point, dat onderzoek heeft gepubliceerd waaruit blijkt dat een Chinese APT legitieme informatie over het coronavirus heeft "bewapend" om hun kwaadaardige malware onder de massa te verspreiden.

De tweede aanval

De Vicious Panda-aanval is eigenlijk de tweede grote Coronavirus (COVID-19)-gerelateerde malwarecampagne die de afgelopen weken uit China is gekomen. De eerste vond plaats begin maart toen de Vietnamese cybersecuritygroep VinCSS een aanval van Mustang Panda opmerkte. Mustang Panda is een andere door de Chinese staat gesponsorde hackgroep.

Hun aanval stond bekend om het verspreiden van e-mails met een bijgevoegd RAR-bestand dat beweerde een bericht van de Vietnamese premier over het coronavirus te bevatten. In plaats van een belangrijk bericht te bevatten, bevatte het RAR-bestand een achterdeur-trojan die zichzelf op de computers van het slachtoffer installeerde en deze openstelde voor de hackgroep.

Wrede panda valt Mongoolse regering aan

De Vicious Panda-aanval werd opgemerkt door Check Point, die zei dat ze de groep in de gaten hielden omdat ze het doelwit waren van Mongoolse overheidsorganisaties. Net als bij de eerste aanval beweerde de groep vitale informatie over het coronavirus te hebben die gebruikers moeten downloaden om toegang te krijgen.

Check Point was in staat om een cyberaanval te onderscheppen van een "Chinese APT-groep op een overheidsinstantie in Mongolië". De aanval maakte gebruik van de angst voor het coronavirus tijdens de social engineering-fase. Het bevatte twee documenten. Een van de documenten had betrekking op COVID-19 en beiden beweerden afkomstig te zijn van het Mongoolse ministerie van Buitenlandse Zaken. De documenten werden geleverd met een unieke malwarebedreiging die externe toegang tot de computers van het slachtoffer mogelijk maakte.

wrede panda spam e-mail verspreid malware
E-mailbijlage - Bron: research.checkpoint.com

Het topje van de ijsberg

Helaas is deze laatste aanval niets nieuws en slechts het topje van de spreekwoordelijke ijsberg. Hackers hebben dit soort crises altijd in hun voordeel gebruikt, dus ze zouden op geen enkele manier weerstand kunnen bieden aan het profiteren van COVID-19.

Het nieuwste Chinese APT-document was, volgens Check Point, getiteld 'Over de verspreiding van nieuwe coronavirusinfecties'. Het citeert het National Health Committee of China om authentieker te lijken en effectiever te zijn. Hoewel er een aantal cyberdreigingen zijn geweest in verband met COVID-19, lijkt dit de eerste te zijn die door een door de staat gesponsorde hackgroep tegen een buitenlandse regering is uitgevoerd.

Check Point is niet alleen de laatste in een reeks van coronavirusgerelateerde hackaanvallen, maar zegt ook dat de aanval slechts de laatste is in een lopende campagne van Chinese hackers tegen andere regeringen en organisaties. Het verschil is dat deze gebruikmaakte van het coronavirus als onderdeel van de implementatiemethode.

De aanval werd beschreven als "het misbruiken van de publieke belangstelling voor het coronavirus voor [China's] eigen agenda door middel van een nieuwe keten van cyberinfecties". Ze zeggen dat Vicious Panda zich op landen over de hele wereld richt - niet alleen op Mongolië. Ze dringen er bij elke entiteit in de publieke sector en telco's op aan alert te zijn op mogelijke cyberdreigingen, met name alles dat beweert over het coronavirus te gaan.

De e-mail en documenten beweren afkomstig te zijn van de eigen regering van Mongolië. Minstens één van hen beweerde afkomstig te zijn van de minister van Buitenlandse Zaken. De campagne was gericht op andere delen van de Mongoolse publieke sector. Het doel van de campagne bleek informatie en screenshots van overheidscomputers te halen, bestanden te bewerken en te verwijderen en die computers op afstand te besturen.

Hoe werkt de Vicious Panda Ransomware?
De kwaadaardige bijlage bevat een trojan voor externe toegang (RAT) die de controle over computers kan overnemen. De trojan is geprogrammeerd om beperkte verbindingen te hebben met de command and control-server, waardoor het moeilijker te detecteren kan zijn. De structuur van de payload suggereert dat deze andere modules zou kunnen bevatten die later zullen worden geïnstalleerd als onderdeel van een grotere campagne. Van wat Check Point kan zien, is de malware die bij de aanval wordt gebruikt een volledig unieke en op maat ontworpen soort, maar hoe het precies werkt - en wat het doet - komt vrij vaak voor.

vicieuze panda malware infectie keten
Vicious Panda Infection Chains - Bron: research.checkpoint.com

Check Point brak andere delen van de campagne uit, zoals waar het commando- en controlecentrum was gehuisvest. Maar uiteindelijk is deze malware niets minder dan een door de staat gesponsorde campagne. Het maakt gebruik van social engineering om gebruikers aan te moedigen een bijlage te downloaden en te openen. De bijlage laadt een ander bestand en installeert een achterdeur naar de computer. China kan dan die achterdeur gebruiken om overheidsdoelen te bespioneren.

Cybercriminelen zullen China en het Coronavirus blijven gebruiken

Hoewel de wegwijzers op het hoogste niveau niet genoeg informatie bieden om precies vast te stellen wie er achter de aanval zit, dook Check Point in de malwarecode en ontdekte dat deze vergelijkbaar was met code die wordt gebruikt in andere malware met betrekking tot China. Die campagnes waren ook gericht op de vijanden van China.

China – het epicentrum van het coronavirus – gebruikt het virus in veel bedrieglijke methoden in zijn eigen voordeel. Het is echter niet verwonderlijk dat ze het coronavirus zouden gebruiken, aangezien het momenteel de beste social engineering-tool is die beschikbaar is voor bedreigingsactoren. Zelfs reguliere cybercriminelen gebruiken het in hun eigen campagnes.

Trending

Meest bekeken

Bezig met laden...