Eine chinesische Advanced Persistent Threat (APT)-Gruppe hat taiwanesische Finanzinstitute im Rahmen einer „hartnäckigen Kampagne“ angegriffen, die mindestens 18 Monate lang andauerte.
Die Einbrüche, die in erster Linie auf Spionage abzielten, führten zum Einsatz einer Backdoor namens xPack, die dem Angreifer weitreichende Kontrolle über die kompromittierten Rechner gewährte, so das zu Broadcom gehörende Unternehmen Symantec in einem letzte Woche veröffentlichten Bericht.
Bemerkenswert an dieser Kampagne ist die lange Zeit, die sich der Angreifer in den Netzwerken der Opfer aufhielt, was den Betreibern reichlich Gelegenheit bot, detaillierte Erkundungen durchzuführen und potenziell sensible Informationen über Geschäftskontakte und Investitionen zu exfiltrieren, ohne dass dies auffiel.
In einem der ungenannten Finanzunternehmen verbrachten die Angreifer zwischen Dezember 2020 und August 2021 fast 250 Tage, während das Netzwerk eines Produktionsunternehmens etwa 175 Tage lang unter ihrer Beobachtung stand.
Obwohl der ursprüngliche Zugriffsvektor, der für den Einbruch in die Ziele verwendet wurde, unklar bleibt, wird vermutet, dass Antlion eine Schwachstelle in einer Webanwendung ausnutzte, um Fuß zu fassen und die benutzerdefinierte xPack-Backdoor einzuschleusen, mit der Systembefehle ausgeführt, nachfolgende Malware und Tools eingeschleust und Daten zur Exfiltration bereitgestellt werden.
Darüber hinaus nutzte der Bedrohungsakteur C++-basierte Custom Loader sowie eine Kombination aus legitimen Standard-Tools wie AnyDesk und Living-off-the-land (LotL)-Techniken, um sich Fernzugriff zu verschaffen, Anmeldedaten auszulesen und beliebige Befehle auszuführen.
„Es wird vermutet, dass Antlion seit mindestens 2011 in Spionageaktivitäten verwickelt ist, und diese jüngsten Aktivitäten zeigen, dass es sich auch mehr als 10 Jahre nach seinem ersten Auftreten um einen Akteur handelt, den man im Auge behalten sollte“, so die Forscher.
Die Ergebnisse reihen sich ein in eine wachsende Liste von mit China verbundenen nationalstaatlichen Gruppen, die in den letzten Monaten Taiwan ins Visier genommen haben. So wurden bösartige Cyberaktivitäten von Bedrohungsakteuren wie Tropic Trooper und Earth Lusca durchgeführt, die sich gegen Regierungs-, Gesundheits-, Transport- und Bildungseinrichtungen des Landes richteten.