Ein „extrem raffinierter“ chinesischsprachiger APT-Akteur mit dem Namen LuoYu wurde dabei beobachtet, wie er ein bösartiges Windows-Tool namens WinDealer benutzt, das mit Hilfe von Man-on-the-Side-Angriffen verbreitet wird.
„Diese bahnbrechende Entwicklung ermöglicht es dem Akteur, den Netzwerkverkehr während der Übertragung zu verändern, um bösartige Nutzdaten einzuschleusen“, so das russische Cybersicherheitsunternehmen Kaspersky in einem neuen Bericht. „Solche Angriffe sind besonders gefährlich und verheerend, weil sie keine Interaktion mit dem Ziel erfordern, um zu einer erfolgreichen Infektion zu führen.
Bei den von LuoYu angegriffenen Organisationen, die seit 2008 aktiv sind, handelt es sich überwiegend um ausländische diplomatische Organisationen mit Sitz in China, um Mitglieder der akademischen Gemeinschaft sowie um Finanz-, Verteidigungs-, Logistik- und Telekommunikationsunternehmen.
Die Verwendung von WinDealer durch LuoYu wurde erstmals von der taiwanesischen Cybersicherheitsfirma TeamT5 auf der Japan Security Analyst Conference (JSAC) im Januar 2021 dokumentiert. Spätere Angriffskampagnen nutzten die Malware, um japanische Unternehmen anzugreifen. Vereinzelte Infektionen wurden auch in Österreich, Deutschland, Indien, Russland und den USA gemeldet.
Andere Tools, die zum Malware-Arsenal des Gegners gehören, sind PlugX und sein Nachfolger ShadowPad, die beide von verschiedenen chinesischen Bedrohungsakteuren eingesetzt wurden, um ihre strategischen Ziele zu erreichen. Außerdem ist bekannt, dass der Akteur es auf Linux-, macOS- und Android-Geräte abgesehen hat.
WinDealer wiederum wurde in der Vergangenheit über Websites verbreitet, die als Wasserlöcher fungieren, und in Form von trojanisierten Anwendungen, die sich als Instant-Messaging- und Video-Hosting-Dienste wie Tencent QQ und Youku tarnen.
Inzwischen wurde der Infektionsvektor jedoch gegen eine andere Verbreitungsmethode ausgetauscht, die den automatischen Update-Mechanismus ausgewählter legitimer Anwendungen nutzt, um bei „seltenen Gelegenheiten“ eine kompromittierte Version der ausführbaren Datei bereitzustellen.
WinDealer ist im Kern eine modulare Malware-Plattform und verfügt über alle üblichen Funktionen einer herkömmlichen Backdoor, die es ihm ermöglicht, sensible Informationen abzugreifen, Screenshots zu erstellen und beliebige Befehle auszuführen.
Das Besondere an WinDealer ist jedoch, dass er einen komplexen IP-Generierungsalgorithmus verwendet, um aus einem Pool von 48.000 IP-Adressen einen Command-and-Control-Server (C2) auszuwählen, mit dem er sich zufällig verbindet.
„Die einzige Möglichkeit, dieses scheinbar unmögliche Netzwerkverhalten zu erklären, ist die Annahme, dass es einen Angreifer gibt, der in der Lage ist, den gesamten Netzwerkverkehr abzufangen und ihn bei Bedarf sogar zu verändern“, so das Unternehmen.
Ein Man-on-the-Side-Angriff, der einem Man-in-the-Middle-Angriff ähnelt, ermöglicht es einem Angreifer, beliebige Nachrichten zu lesen und in einen Kommunikationskanal einzuschleusen, nicht aber die von anderen Parteien gesendeten Nachrichten zu verändern oder zu löschen.
Solche Angriffe beruhen in der Regel darauf, dass die Nachrichten strategisch so getimt werden, dass die bösartige Antwort mit den vom Angreifer gelieferten Daten als Antwort auf die Anfrage eines Opfers nach einer Webressource vor der eigentlichen Antwort des Servers gesendet wird.
Die Tatsache, dass der Angreifer in der Lage ist, eine so große Anzahl von IP-Adressen zu kontrollieren, könnte auch erklären, warum er den Update-Mechanismus echter Anwendungen gekapert hat, um die WinDealer-Nutzdaten zu übermitteln, so Kaspersky weiter.
„Man-on-the-Side-Angriffe sind extrem zerstörerisch, da die einzige Voraussetzung für einen Angriff auf ein Gerät darin besteht, dass es mit dem Internet verbunden ist“, so Sicherheitsforscher Suguru Ishimaru.
„Unabhängig davon, wie der Angriff durchgeführt wurde, besteht die einzige Möglichkeit für potenzielle Opfer, sich zu verteidigen, darin, extrem wachsam zu sein und robuste Sicherheitsverfahren einzusetzen, wie z. B. regelmäßige Antiviren-Scans, die Analyse des ausgehenden Netzwerkverkehrs und eine umfassende Protokollierung zur Erkennung von Anomalien.“