Ein Bedrohungsakteur mit mutmaßlichen Verbindungen nach China wurde mit einer Reihe von Spionageangriffen auf den Philippinen in Verbindung gebracht, die in erster Linie auf USB-Geräte als anfänglichen Infektionsvektor zurückgreifen.
Mandiant, das zu Google Cloud gehört, verfolgt den Cluster unter dem nicht kategorisierten Namen UNC4191. Eine Analyse der bei den Angriffen verwendeten Artefakte deutet darauf hin, dass die Kampagne bis in den September 2021 zurückreicht.
"Die UNC4191-Operationen betrafen eine Reihe von öffentlichen und privaten Einrichtungen, vor allem in Südostasien, aber auch in den USA, Europa und APJ", so die Forscher Ryan Tomcik, John Wolfram, Tommy Dacanay und Geoff Ackerman. sagte.
"Doch selbst wenn die angegriffenen Organisationen an anderen Orten ansässig waren, wurde festgestellt, dass sich die von UNC4191 angegriffenen Systeme ebenfalls auf den Philippinen befanden.
Der Rückgriff auf infizierte USB-Laufwerke zur Verbreitung der Malware ist ungewöhnlich, wenn nicht neu. Die Himbeerschnäpper Wurm, der entwickelt in einen Erstzugriffsdienst für Folgeangriffe umwandelt, ist dafür bekannt, dass er USB-Laufwerke als Einstiegspunkt nutzt.
Das Unternehmen für Bedrohungsanalysen und Incident Response erklärte, dass die Angriffe zum Einsatz von drei neuen Malware-Familien mit den Bezeichnungen MISTCLOAK, DARKDEW, BLUEHAZE und NcatLetzteres ist ein Befehlszeilen-Netzwerkprogramm, mit dem eine Reverse Shell auf dem Opfersystem erstellt wird.
MISTCLOAK seinerseits wird aktiviert, wenn ein Benutzer ein kompromittiertes Wechseldatenträgergerät an ein System anschließt, das als Startrampe für eine verschlüsselte Nutzlast namens DARKDEW fungiert, die Wechsellaufwerke infizieren und die Infektionen effektiv verbreiten kann.
"Die Malware repliziert sich selbst, indem sie neue Wechsellaufwerke infiziert, die an ein kompromittiertes System angeschlossen sind, so dass sich die bösartigen Nutzdaten auf weitere Systeme ausbreiten und möglicherweise Daten von luftgekapselt Systeme", erklärten die Forscher.
Der DARKDEW-Dropper dient außerdem zum Starten einer weiteren ausführbaren Datei ("DateCheck.exe"), einer umbenannten Version einer legitimen, signierten Anwendung namens "Razer Chromium Render Process", die die BLUEHAZE-Malware aufruft.
BLUEHAZE, ein in C/C++ geschriebener Launcher, setzt die Angriffskette fort, indem er eine Kopie von Ncat startet, um eine Reverse Shell zu einer fest kodierten Command-and-Control-Adresse (C2) zu erstellen.
"Wir sind der Meinung, dass diese Aktivitäten ein Beispiel für chinesische Operationen sind, die darauf abzielen, Zugang zu öffentlichen und privaten Einrichtungen zu erlangen und aufrechtzuerhalten, um nachrichtendienstliche Informationen im Zusammenhang mit den politischen und wirtschaftlichen Interessen Chinas zu sammeln", so die Forscher.
https://thehackernews.com/2022/11/chinese-cyber-espionage-hackers-using.html
