APT41, ein staatlich gesponserter Bedrohungsakteur, der mit China verbunden ist, ist zwischen Mai 2021 und Februar 2022 in mindestens sechs Netzwerke der US-Bundesstaaten eingedrungen, indem er seine Angriffsvektoren so umgestaltet hat, dass sie verwundbare Internetanwendungen ausnutzen.
Zu den ausgenutzten Schwachstellen gehörten „eine Zero-Day-Schwachstelle in der USAHERDS-Anwendung (CVE-2021-44207) sowie die berühmt-berüchtigte Zero-Day-Schwachstelle in Log4j (CVE-2021-44228)“, so die Forscher von Mandiant in einem am Dienstag veröffentlichten Bericht, der von einer „gezielten Kampagne“ spricht.
Neben den Angriffen auf das Internet wurden bei den hartnäckigen Angriffen auch Schwachstellen in den Bereichen Deserialisierung, SQL-Injection und Directory Traversal ausgenutzt, so das Unternehmen für Cybersicherheit und Incident Response.
Die fortschrittliche, hartnäckige Bedrohung, die auch unter den Namen Barium und Winnti bekannt ist, hat es nachweislich auf Organisationen im öffentlichen und privaten Sektor abgesehen, um Spionageaktivitäten parallel zu finanziell motivierten Operationen durchzuführen.
Anfang 2020 wurde die Gruppe mit einer globalen Einbruchskampagne in Verbindung gebracht, bei der eine Reihe von Exploits für Citrix NetScaler/ADC, Cisco-Router und Zoho ManageEngine Desktop Central genutzt wurde, um Dutzende von Einrichtungen in 20 Ländern mit bösartigen Nutzdaten zu infizieren.
Die jüngste Enthüllung setzt den Trend fort, dass APT41 neu entdeckte Schwachstellen wie Log4Shell schnell ausnutzt, um sich innerhalb weniger Stunden nach Bekanntwerden Zugang zu den Zielnetzwerken von zwei US-Bundesstaaten sowie Versicherungs- und Telekommunikationsunternehmen zu verschaffen.
Die Angriffe dauerten bis in den Februar 2022 hinein an, als die Hacker erneut in die Netzwerke von zwei US-Bundesstaaten eindrangen, in die sie im Mai und Juni 2021 zum ersten Mal eingedrungen waren, was „ihr unablässiges Bestreben zeigt, auf die Netzwerke der Bundesstaaten zuzugreifen“, so die Forscher.
Darüber hinaus wurde nach der Ausnutzung von Log4Shell eine neue Variante einer modularen C++-Backdoor namens KEYPLUG auf Linux-Systemen eingesetzt, aber erst nachdem die Zielumgebungen ausgiebig erkundet und Anmeldeinformationen gesammelt wurden.
Bei den Angriffen wurde auch ein In-Memory-Dropper namens DUSTPAN (auch bekannt als StealthVector) beobachtet, der die nächste Stufe der Nutzlast ausführt, sowie fortschrittliche Post-Compromise-Tools wie DEADEYE, ein Malware-Loader, der für den Start des LOWKEY-Implantats verantwortlich ist.
Zu den verschiedenen Techniken, Umgehungsmethoden und Fähigkeiten, die APT41 einsetzte, gehörte auch die „erheblich verstärkte“ Nutzung von Cloudflare-Diensten für die Command-and-Control-Kommunikation (C2) und die Datenexfiltration, so die Forscher.
Obwohl Mandiant Beweise dafür gefunden hat, dass die Angreifer personenbezogene Daten ausspioniert haben, was typisch für Spionageoperationen ist, ist das eigentliche Ziel der Kampagne derzeit unklar.
Dies ist bereits das zweite Mal, dass eine chinesische Gruppe Sicherheitslücken in der allgegenwärtigen Apache Log4j-Bibliothek ausnutzt, um in ein Zielsystem einzudringen.
Im Januar 2022 berichtete Microsoft über eine Angriffskampagne von Hafnium – dem Bedrohungsakteur, der vor einem Jahr für die weit verbreitete Ausnutzung von Schwachstellen in Exchange Server verantwortlich war -, die die Schwachstelle ausnutzte, um „die Virtualisierungsinfrastruktur anzugreifen und ihre typischen Angriffsziele zu erweitern“.
Wenn überhaupt, sind die jüngsten Aktivitäten ein weiteres Zeichen für einen sich ständig anpassenden Gegner, der in der Lage ist, seine Ziele zu verlagern und sein Malware-Arsenal zu verfeinern, um Einrichtungen auf der ganzen Welt anzugreifen, die von strategischem Interesse sind.
Die Cyberoperationen von APT41 gegen das Gesundheitswesen, den Hightech- und den Telekommunikationssektor haben inzwischen die Aufmerksamkeit des US-Justizministeriums auf sich gezogen, das 2020 Anklage gegen fünf Mitglieder der Gruppe erhob und die Hacker auf die Liste der meistgesuchten Cyberkriminellen des FBI setzte.
„APT41 kann ihre anfänglichen Zugriffstechniken schnell anpassen, indem sie eine Umgebung über einen anderen Vektor erneut kompromittiert oder eine neue Schwachstelle schnell ausnutzt“, so die Forscher. „Die Gruppe zeigt auch die Bereitschaft, ihre Fähigkeiten umzurüsten und über neue Angriffsvektoren einzusetzen, anstatt sie für eine spätere Verwendung zu behalten.
In diesem Zusammenhang teilte die Threat Analysis Group von Google mit, dass sie Schritte unternommen hat, um eine Phishing-Kampagne zu blockieren, die von einer anderen, vom chinesischen Staat unterstützten Gruppe namens APT31 (auch bekannt als Zirconium) im letzten Monat durchgeführt wurde und auf „hochrangige Gmail-Nutzer, die mit der US-Regierung verbunden sind“, abzielte.