Eine chinesisch ausgerichtete Cyberspionagegruppe wurde dabei beobachtet, wie sie den Telekommunikationssektor in Zentralasien mit Versionen von Malware wie ShadowPad und PlugX angriff.
Die Cybersecurity-Firma SentinelOne bringt die Angriffe mit einem Akteur in Verbindung, den sie unter dem Namen „Moshen Dragon“ verfolgt, wobei es taktische Überschneidungen zwischen dem Kollektiv und einer anderen Bedrohungsgruppe namens Nomad Panda (alias RedFoxtrot) gibt.
„PlugX und ShadowPad werden von chinesischsprachigen Bedrohungsakteuren seit langem hauptsächlich für Spionageaktivitäten genutzt“, so Joey Chen von SentinelOne. „Diese Tools haben flexible, modulare Funktionen und werden über Shellcode kompiliert, um herkömmliche Endpunktschutzprodukte zu umgehen.
ShadowPad, das als „Meisterstück privat verkaufter Malware in der chinesischen Spionage“ bezeichnet wird, tauchte 2015 als Nachfolger von PlugX auf, obwohl Varianten von PlugX immer wieder als Teil verschiedener Kampagnen auftauchen, die mit chinesischen Bedrohungsakteuren in Verbindung gebracht werden.
Obwohl seit mindestens 2017 bekannt ist, dass die von der Regierung gesponserte Hackergruppe Bronze Atlas (auch bekannt als APT41, Barium oder Winnti) die Malware einsetzt, gibt es immer mehr andere mit China verbundene Bedrohungsakteure, die sich der Sache anschließen.
Anfang des Jahres hat Secureworks verschiedene ShadowPad-Aktivitäten chinesischen Gruppen zugeordnet, die mit dem zivilen Nachrichtendienst des chinesischen Ministeriums für Staatssicherheit (MSS) und der Volksbefreiungsarmee (PLA) zusammenarbeiten.
Die neuesten Erkenntnisse von SentinelOne decken sich mit einem früheren Bericht von Trellix von Ende März, der eine RedFoxtrot-Angriffskampagne aufdeckte, die mit einer neuen Variante der PlugX-Malware namens Talisman auf den Telekommunikations- und Verteidigungssektor in Südasien abzielte.
Die TTPs von Moshen Dragon beinhalten den Missbrauch legitimer Antivirensoftware von BitDefender, Kaspersky, McAfee, Symantec und Trend Micro, um ShadowPad und Talisman mit Hilfe einer Technik namens DLL Search Order Hijacking auf kompromittierte Systeme zu laden.
Im nächsten Schritt wird die gekaperte DLL verwendet, um die endgültige ShadowPad- oder PlugX-Nutzlast zu entschlüsseln und zu laden, die sich im selben Ordner wie die ausführbare Antiviren-Datei befindet. Die Persistenz wird entweder durch die Erstellung einer geplanten Aufgabe oder eines Dienstes erreicht.
Neben dem Hijacking von Sicherheitsprodukten nutzt die Gruppe auch bekannte Hacking-Tools und Red-Team-Skripte, um den Diebstahl von Anmeldeinformationen, Seitwärtsbewegungen und Datenexfiltration zu erleichtern. Der ursprüngliche Zugangsvektor ist noch unklar.
„Sobald die Angreifer in einem Unternehmen Fuß gefasst haben, bewegen sie sich seitwärts, indem sie ein Impacket im Netzwerk ausnutzen, eine passive Hintertür in die Umgebung des Opfers einbauen, so viele Anmeldeinformationen wie möglich sammeln, um sich unbegrenzten Zugang zu sichern, und sich auf die Datenexfiltration konzentrieren“, so Chen.