Ein mit China verbündeter Advanced Persistent Threat-Akteur, bekannt als TA413, nutzte kürzlich aufgedeckte Schwachstellen in der Sophos Firewall und in Microsoft Office, um eine noch nie dagewesene Backdoor namens LOWZERO als Teil einer Spionagekampagne einzusetzen, die auf tibetische Einrichtungen abzielte.
Die Ziele waren vor allem Organisationen, die mit der tibetischen Gemeinschaft verbunden sind, darunter auch Unternehmen, die mit der tibetischen Exilregierung in Verbindung stehen.
Bei den Angriffen wurden CVE-2022-1040 und CVE-2022-30190 (auch bekannt als „Follina“) ausgenutzt, zwei Sicherheitslücken in der Sophos Firewall bzw. in Microsoft Office, die die Ausführung von Remotecode ermöglichen.
„Diese Bereitschaft, schnell neue Techniken und Methoden des Erstzugriffs zu nutzen, steht im Gegensatz zu den bekannten und berichteten Fähigkeiten der Gruppe, wie dem Royal Road RTF Waffensystem, und den oft laxen Tendenzen bei der Beschaffung von Infrastruktur“, so Recorded Future in einer neuen technischen Analyse.
TA413, auch bekannt unter dem Namen LuckyCat, hat es mindestens seit 2020 mit Malware wie ExileRAT, Sepulcher und einer bösartigen Mozilla Firefox-Browsererweiterung namens FriarFox auf Organisationen und Einzelpersonen abgesehen, die mit der tibetischen Gemeinschaft verbunden sind.
Die Ausnutzung der Follina-Schwachstelle durch die Gruppe wurde bereits im Juni 2022 von Proofpoint aufgedeckt, obwohl das Endziel der Infektionsketten unklar blieb.
In einem Spearphishing-Angriff vom Mai 2022 wurde ein bösartiges RTF-Dokument verwendet, das Schwachstellen im Microsoft Equation Editor ausnutzte, um das LOWZERO-Implantat einzuschleusen. Dazu wurde ein Royal Road RTF Waffentool verwendet, das unter chinesischen Bedrohungsakteuren weit verbreitet ist.
In einer anderen Phishing-E-Mail, die Ende Mai an ein tibetisches Ziel geschickt wurde, versuchte ein Microsoft Word-Anhang, der auf dem Google Firebase-Dienst gehostet wurde, die Follina-Schwachstelle auszunutzen, um einen PowerShell-Befehl auszuführen, mit dem die Backdoor von einem Remote-Server heruntergeladen werden sollte.
LOWZERO, die Backdoor, ist in der Lage, zusätzliche Module von ihrem Command-and-Control (C2)-Server zu empfangen, aber nur unter der Bedingung, dass der kompromittierte Rechner für den Bedrohungsakteur von Interesse ist.
„Die Gruppe baut weiterhin neue Fähigkeiten ein, verlässt sich aber auch auf bewährte [Taktiken, Techniken und Verfahren]“, so das Cybersecurity-Unternehmen.
„Die Tatsache, dass TA413 sowohl Zero-Day-Schwachstellen als auch kürzlich veröffentlichte Schwachstellen nutzt, ist bezeichnend für den allgemeinen Trend bei chinesischen Cyberspionage-Gruppen, dass Exploits regelmäßig von verschiedenen chinesischen Aktivistengruppen genutzt werden, bevor sie allgemein verfügbar sind.