Ein mit China verbundener, von der Regierung gesponserter Bedrohungsakteur hat es mit einer aktualisierten Version eines Remote-Access-Trojaners namens PlugX auf russischsprachige Menschen abgesehen.
Secureworks führt die Einbruchsversuche auf einen Bedrohungsakteur zurück, der als Bronze President bekannt ist und von der breiteren Cybersicherheits-Community unter den Namen Mustang Panda, TA416, HoneyMyte, RedDelta und PKPLUG geführt wird.
„Der Krieg in der Ukraine hat viele Länder dazu veranlasst, ihre Cyberkapazitäten einzusetzen, um Einblicke in globale Ereignisse, politische Machenschaften und Motivationen zu erhalten“, so das Cybersecurity-Unternehmen in einem Bericht an The Hacker News. „Dieser Wunsch nach Situationskenntnis erstreckt sich oft auch auf das Sammeln von Informationen von Verbündeten und ‚Freunden‘.“
Bronze President, der mindestens seit Juli 2018 aktiv ist, hat in der Vergangenheit Spionageoperationen durchgeführt, indem er benutzerdefinierte und öffentlich zugängliche Tools nutzte, um Ziele zu kompromittieren, langfristigen Zugang zu erhalten und Daten von interessanten Zielen zu sammeln.
Eines der wichtigsten Tools ist PlugX, eine Windows-Backdoor, die es Bedrohungsakteuren ermöglicht, eine Vielzahl von Befehlen auf infizierten Systemen auszuführen.
Die neuesten Erkenntnisse von Secureworks deuten auf eine Ausweitung der Kampagne hin, über die Proofpoint und ESET im letzten Monat berichtet haben. Dabei wurde eine neue Variante von PlugX mit dem Codenamen Hodur eingesetzt, die sich mit einer anderen Version namens THOR überschneidet, die im Juli 2021 aufgetaucht ist.
Die Angriffskette beginnt mit einer bösartigen ausführbaren Datei namens „Blagoveshchensk – Blagoveshchensk Border Detachment.exe“, die sich als scheinbar legitimes Dokument mit einem PDF-Symbol tarnt, das beim Öffnen zur Bereitstellung einer verschlüsselten PlugX-Nutzlast von einem entfernten Server führt.
„Blagoweschtschensk ist eine russische Stadt nahe der chinesischen Grenze, in der die 56. Blagoweschtschenskiy Red Banner Border Guard Detachment stationiert ist“, so die Forscher. „Diese Verbindung lässt vermuten, dass der Dateiname so gewählt wurde, dass Beamte oder Militärangehörige, die mit der Region vertraut sind, angesprochen werden.
Die Tatsache, dass russische Beamte das Ziel der Kampagne vom März 2022 gewesen sein könnten, deutet darauf hin, dass der Bedrohungsakteur seine Taktiken als Reaktion auf die politische Lage in Europa und den Krieg in der Ukraine weiterentwickelt.
„Die Tatsache, dass die Kampagne auf russischsprachige Nutzer und europäische Einrichtungen abzielt, deutet darauf hin, dass die Bedrohungsakteure einen aktualisierten Auftrag erhalten haben, der die sich ändernden Anforderungen der [Volksrepublik China] an die Informationsbeschaffung widerspiegelt“, so die Forscher.
Die Ergebnisse kommen Wochen, nachdem eine andere in China ansässige Gruppe namens Nomad Panda (auch bekannt als RedFoxtrot) mit mittlerer Sicherheit mit Angriffen auf den Verteidigungs- und Telekommunikationssektor in Südasien in Verbindung gebracht wurde, bei denen eine weitere Version von PlugX namens Talisman zum Einsatz kam.
„PlugX wurde in den letzten Jahren mit verschiedenen chinesischen Akteuren in Verbindung gebracht“, stellte Trellix letzten Monat fest. „Diese Tatsache wirft die Frage auf, ob die Codebasis der Malware von verschiedenen vom chinesischen Staat unterstützten Gruppen gemeinsam genutzt wird.
„Andererseits deutet das angebliche Leck des PlugX v1 Builders, über das Airbus 2015 berichtete, darauf hin, dass nicht alle PlugX-Vorkommen zwangsläufig mit chinesischen Akteuren in Verbindung gebracht werden“, fügte das Cybersicherheitsunternehmen hinzu.