Ein chinesischer Advanced Persistent Threat mit dem Namen Deep Panda wurde dabei beobachtet, wie er die Log4Shell-Schwachstelle in VMware Horizon-Servern ausnutzt, um eine Backdoor und ein neuartiges Rootkit auf den infizierten Rechnern zu installieren und so sensible Daten zu stehlen.
„Die Art der Angriffe war insofern opportunistisch, als mehrere Infektionen in mehreren Ländern und verschiedenen Sektoren zu denselben Daten stattfanden“, so Rotem Sde-Or und Eliran Voronovitch, Forscher bei Fortinets FortiGuard Labs, in einem diese Woche veröffentlichten Bericht. „Die Opfer stammen aus der Finanz-, Hochschul-, Kosmetik- und Reisebranche“.
Deep Panda, der auch unter den Namen Shell Crew, KungFu Kittens und Bronze Firestone bekannt ist, soll mindestens seit 2010 aktiv sein. Laut Secureworks zielten die jüngsten Angriffe „auf Anwaltskanzleien zur Datenexfiltration und auf Technologieanbieter zum Aufbau von Command-and-Control-Infrastrukturen“.
Die Cybersecurity-Firma CrowdStrike, die der Gruppe bereits im Juli 2014 den Namen „Panda“ gab, bezeichnete sie als „eine der fortschrittlichsten chinesischen Cyberangriffsgruppen mit nationalem Hintergrund“.
Die neuesten, von Fortinet dokumentierten Angriffe zeigen, dass das Infektionsverfahren die Ausnutzung des Log4j-Remotecode-Ausführungsfehlers (auch bekannt als Log4Shell) in anfälligen VMware Horizon-Servern beinhaltet, um eine Kette von Zwischenschritten auszulösen, die schließlich zur Bereitstellung einer Backdoor mit dem Namen Milestone („1.dll“) führen.
Milestone basiert auf dem durchgesickerten Quellcode des berüchtigten Gh0st RAT, unterscheidet sich aber deutlich im verwendeten Command-and-Control (C2)-Kommunikationsmechanismus und ist auch dazu gedacht, Informationen über die aktuellen Sitzungen auf dem System an den Remote-Server zu senden.
Bei den Angriffen wurde auch ein Kernel-Rootkit namens „Fire Chili“ entdeckt, das mit gestohlenen Zertifikaten von Spieleentwicklern signiert ist. Dadurch kann es sich der Erkennung durch Sicherheitssoftware entziehen und bösartige Dateioperationen, Prozesse, Hinzufügungen von Registrierungsschlüsseln und Netzwerkverbindungen verschleiern.
Dies wird durch ioctl (input/output control) Systemaufrufe erreicht, um den Registry-Schlüssel des Treiber-Rootkits, die Milestone-Backdoor-Dateien sowie die Loader-Datei und den Prozess, die zum Starten des Implantats verwendet werden, zu verbergen.
Fortinet führt Deep Panda auf Überschneidungen zwischen Milestone und Infoadmin RAT zurück, einem Fernzugriffstrojaner, der von dem hochentwickelten Hackerkollektiv in den frühen 2010er Jahren eingesetzt wurde, sowie auf taktische Ähnlichkeiten mit der Winnti-Gruppe.
Weitere Hinweise deuten auf taktische Ähnlichkeiten mit der Winnti-Gruppe hin. Dies wird durch die Verwendung kompromittierter digitaler Signaturen von Glücksspielunternehmen, einem bevorzugten Ziel von Winnti, sowie durch eine C2-Domain (gnisoft[.]com) untermauert, die bereits im Mai 2020 mit dem chinesischen Staatsakteur in Verbindung gebracht wurde.
„Der Grund, warum diese Tools mit zwei verschiedenen Gruppen verbunden sind, ist derzeit unklar“, so die Forscher. „Es ist möglich, dass die Entwickler der Gruppen Ressourcen, wie gestohlene Zertifikate und C2-Infrastruktur, miteinander geteilt haben. Das könnte erklären, warum die Beispiele erst einige Stunden nach ihrer Erstellung signiert wurden.“
Die Enthüllung reiht sich ein in eine lange Liste von Hackergruppen, die die Log4Shell-Schwachstelle ausgenutzt haben, um die Virtualisierungsplattform von VMware anzugreifen.
Im Dezember 2021 beschrieb CrowdStrike eine erfolglose Kampagne eines Angreifers namens Aquatic Panda, der die Schwachstelle ausnutzte, um verschiedene Operationen nach der Ausnutzung der Schwachstelle durchzuführen, einschließlich der Erkundung und des Sammelns von Zugangsdaten auf den Zielsystemen.
Seitdem haben sich mehrere Gruppen dem Kampf angeschlossen, darunter die iranische TunnelVision-Gruppe, die den Fehler in der Log4j-Protokollierungsbibliothek aktiv ausnutzte, um ungepatchte VMware Horizon-Server mit Ransomware zu infizieren.
Erst kürzlich hat das Cybersicherheitsunternehmen Sophos auf eine Reihe von Angriffen auf anfällige Horizon-Server hingewiesen, die seit Januar andauern und von Bedrohungsakteuren durchgeführt wurden, um illegal Kryptowährung zu schürfen, PowerShell-basierte Reverse Shells zu installieren oder Atera-Agenten einzusetzen, um zusätzliche Nutzdaten aus der Ferne zu übertragen.
„Versuche, Horizon-Server zu kompromittieren, gehören zu den gezielteren Ausnutzungen der Log4Shell-Schwachstellen“, so die Sophos-Forscher. „Plattformen wie Horizon sind besonders attraktive Ziele für alle Arten von böswilligen Akteuren, da sie weit verbreitet sind und (wenn sie noch anfällig sind) mit gut getesteten Tools leicht gefunden und ausgenutzt werden können.“