Eine vom chinesischen Staat gesponserte Spionagegruppe, bekannt als Override Panda, ist in den letzten Wochen mit einer neuen Phishing-Attacke aufgetaucht, deren Ziel es ist, sensible Informationen zu stehlen.
„Die chinesische APT nutzte eine Spear-Phishing-E-Mail, um ein Beacon eines Red-Team-Frameworks namens ‚Viper‘ zu übermitteln“, so Cluster25 in einem letzte Woche veröffentlichten Bericht.
„Das Ziel dieses Angriffs ist derzeit nicht bekannt, aber angesichts der Vorgeschichte der von der Gruppe verübten Angriffe könnte es sich mit hoher Wahrscheinlichkeit um eine staatliche Einrichtung aus einem südasiatischen Land handeln.“
Override Panda, auch Naikon, Hellsing und Bronze Geneva genannt, ist dafür bekannt, seit mindestens 2005 im Auftrag chinesischer Interessen zu operieren und nachrichtendienstliche Operationen gegen ASEAN-Länder durchzuführen.
Die Angriffsketten des Bedrohungsakteurs beinhalten die Verwendung von Täuschungsdokumenten, die an Spear-Phishing-E-Mails angehängt sind und die beabsichtigten Opfer dazu verleiten sollen, diese zu öffnen und sich mit Malware zu infizieren.
Im vergangenen April wurde die Gruppe mit einer breit angelegten Cyberspionage-Kampagne in Verbindung gebracht, die sich gegen militärische Organisationen in Südostasien richtete. Im August 2021 wurde Naikon dann in Cyberangriffe verwickelt, die Ende 2020 auf den Telekommunikationssektor in der Region abzielten.
Die jüngste Kampagne, die von Cluster25 entdeckt wurde, unterscheidet sich nicht von den anderen, da sie ein waffenfähiges Microsoft Office-Dokument nutzt, um die Killchain der Infektion zu starten, die einen Loader enthält, der einen Shellcode startet, der wiederum einen Beacon für das Viper Red Team Tool einschleust.
Viper steht auf GitHub zum Download bereit und wird als „grafisches Intranet-Penetrationstool beschrieben, das die Taktiken und Technologien, die üblicherweise bei der Intranet-Penetration verwendet werden, modularisiert und waffentauglich macht“.
Ähnlich wie Cobalt Strike soll das Framework über 80 Module verfügen, die den Erstzugang, die Persistenz, die Privilegienerweiterung, den Zugriff auf Anmeldeinformationen, die Seitwärtsbewegung und die Ausführung beliebiger Befehle ermöglichen.
„Aus der Beobachtung des Hacking-Arsenals von Naikon APT wurde geschlossen, dass diese Gruppe dazu neigt, langfristige Aufklärungs- und Spionageoperationen durchzuführen, was typisch für eine Gruppe ist, die Angriffe auf ausländische Regierungen und Beamte durchführen will“, so die Forscher.
„Um eine Entdeckung zu vermeiden und das Ergebnis zu maximieren, änderte sie im Laufe der Zeit verschiedene [Taktiken, Techniken und Verfahren] und Werkzeuge.“