Der auf Spionage ausgerichtete chinesische Akteur mit dem Namen Winnti hat im Rahmen einer laufenden Kampagne mit dem Namen Operation CuckooBees Regierungsorganisationen in Hongkong ins Visier genommen.
Winnti (auch bekannt als APT41, Barium, Bronze Atlas und Wicked Panda) ist eine seit mindestens 2007 aktive Cyber-Bedrohungsgruppe, die vom chinesischen Staat gesponserte Spionageaktivitäten durchführt, die vor allem darauf abzielen, geistiges Eigentum von Unternehmen in Industrieländern zu stehlen.
Die Kampagnen der Bedrohungsakteure zielen auf die Bereiche Gesundheitswesen, Telekommunikation, Hightech, Medien, Landwirtschaft und Bildung ab, wobei die Infektionsketten hauptsächlich auf Spearphishing-E-Mails mit Anhängen beruhen, um zunächst in die Netzwerke der Opfer einzudringen.
Anfang Mai dieses Jahres enthüllte Cybereason, dass die Gruppe seit 2019 lang andauernde Angriffe durchführt, um Technologiegeheimnisse von Technologie- und Produktionsunternehmen vor allem in Ostasien, Westeuropa und Nordamerika abzuschöpfen.
Die Angriffe, die unter dem Namen „Operation CuckooBees“ bekannt sind, haben schätzungsweise „Hunderte von Gigabyte an Informationen“ abgefangen, so das israelische Cybersicherheitsunternehmen.
Laut dem Team von Symantec Threat Hunter, das zu Broadcom Software gehört, ist die jüngste Aktion eine Fortsetzung der Kampagne zum Datendiebstahl, allerdings mit Schwerpunkt auf Hongkong.
Die Angreifer blieben in einigen der kompromittierten Netzwerke bis zu einem Jahr lang aktiv, so das Unternehmen in einem Bericht, der The Hacker News zur Verfügung gestellt wurde, und fügte hinzu, dass die Eindringlinge den Weg für den Einsatz eines Malware-Loaders namens Spyder ebneten, der erstmals im März 2021 bekannt wurde.
„[Spyder] wird für gezielte Angriffe auf Datenspeichersysteme verwendet, sammelt Informationen über beschädigte Geräte, führt bösartige Nutzlasten aus, koordiniert die Ausführung von Skripten und die Kommunikation mit C&C-Servern“, stellte das SonicWall Capture Labs Threat Research Team damals fest.
Neben Spyder wurden auch andere Post-Exploitation-Tools wie Mimikatz und ein trojanisiertes zlib DLL-Modul eingesetzt, das in der Lage ist, Befehle von einem entfernten Server zu empfangen oder eine beliebige Nutzlast zu laden.
Symantec hat nach eigenen Angaben keine Malware in der Endphase des Angriffs beobachtet. Es wird jedoch vermutet, dass die Motive der Kampagne mit dem Sammeln von Informationen zu tun haben, da es taktische Überschneidungen mit früheren Angriffen gibt.
„Die Tatsache, dass diese Kampagne seit mehreren Jahren andauert und in dieser Zeit verschiedene Varianten der Spyder Loader-Malware eingesetzt wurden, deutet darauf hin, dass es sich bei den Akteuren hinter dieser Aktivität um hartnäckige und zielgerichtete Angreifer handelt, die in der Lage sind, über einen langen Zeitraum verdeckte Operationen in den Netzwerken der Opfer durchzuführen“, so Symantec.
Winnti zielt auf sri-lankische Regierungsstellen
Als weiteres Zeichen für die Raffinesse von Winnti entdeckte Malwarebytes Anfang August eine Reihe von Angriffen auf Regierungsstellen in Sri Lanka mit einer neuen Hintertür namens DBoxAgent, die Dropbox zur Steuerung nutzt.
„Unseres Wissens nach zielt Winnti (eine von China unterstützte APT) zum ersten Mal auf Sri Lanka ab“, so das Malwarebytes Threat Intelligence Team.
Die Killchain ist auch deshalb bemerkenswert, weil sie ein ISO-Image verwendet, das auf Google Drive gehostet wird und vorgibt, ein Dokument zu sein, das Informationen über Wirtschaftshilfe enthält, was darauf hindeutet, dass der Bedrohungsakteur versucht, aus der anhaltenden Wirtschaftskrise in dem Land Kapital zu schlagen.
Das Starten einer LNK-Datei, die in dem ISO-Image enthalten ist, führt zur Ausführung des DBoxAgent-Implantats, das es dem Angreifer ermöglicht, den Rechner fernzusteuern und sensible Daten zurück zum Cloud-Speicherdienst zu exportieren. Dropbox hat das betrügerische Konto inzwischen deaktiviert.
Die Backdoor fungiert außerdem als Kanal für Dropbox-Exploitation-Tools, die anderen Angriffen und der Datenexfiltration Tür und Tor öffnen. Dazu gehört auch die Aktivierung einer mehrstufigen Infektionssequenz, die in der Verwendung einer fortschrittlichen C++-Backdoor namens KEYPLUG gipfelt, die von Googles Mandiant im März 2022 dokumentiert wurde.
Dies ist das erste Mal, dass APT41 Dropbox für C&C-Zwecke nutzt und zeigt, dass Angreifer zunehmend legitime Software-as-a-Service- und Cloud-Angebote nutzen, um bösartige Inhalte zu hosten.
„Winnti ist nach wie vor aktiv und sein Arsenal wächst als eine der raffiniertesten Gruppen unserer Zeit“, so das Cybersecurity-Unternehmen. „Die Lage Sri Lankas in Südasien ist für China von strategischer Bedeutung, da das Land einen offenen Zugang zum Indischen Ozean hat und nahe an Indien liegt.