Mindestens zwei Forschungsinstitute in Russland und ein drittes wahrscheinliches Ziel in Weißrussland wurden Opfer eines Spionageangriffs durch eine chinesische nationalstaatliche Advanced Persistent Threat (APT).
Die Angriffe mit dem Codenamen „Twisted Panda“ fanden vor dem Hintergrund der russischen Militärinvasion in der Ukraine statt und veranlassten eine Vielzahl von Bedrohungsakteuren, ihre Kampagnen schnell auf den laufenden Konflikt abzustimmen, um Malware zu verbreiten und opportunistische Angriffe durchzuführen.
Die Angriffe erfolgen in Form von Social-Engineering-Methoden mit aktuellen Kriegs- und Sanktionsthemen, um potenzielle Opfer dazu zu bringen, auf bösartige Links zu klicken oder waffenfähige Dokumente zu öffnen.
Das israelische Cybersicherheitsunternehmen Check Point, das Einzelheiten über die jüngste geheimdienstliche Operation bekannt gab, schrieb sie einem chinesischen Bedrohungsakteur zu, der Verbindungen zu Stone Panda (auch bekannt als APT 10, Cicada oder Potassium) und Mustang Panda (auch bekannt als Bronze President, HoneyMyte oder RedDelta) hat.
Es handelt sich dabei um die Fortsetzung einer „lang andauernden Spionageoperation gegen russische Unternehmen, die seit mindestens Juni 2021 im Gange ist“, wobei die jüngsten Spuren erst im April 2022 entdeckt wurden.
Zu den Zielen gehörten zwei Verteidigungsforschungseinrichtungen, die zum staatlichen russischen Rüstungskonzern Rostec Corporation gehören, und eine unbekannte Einrichtung in der weißrussischen Stadt Minsk.
Die Phishing-Angriffe begannen mit E-Mails, die einen Link enthielten, der sich als das russische Gesundheitsministerium ausgab, in Wirklichkeit aber eine von den Angreifern kontrollierte Domain war, sowie ein Microsoft Word-Dokument, das die Infektion auslösen und einen Loader auslösen sollte.
Die 32-Bit-DLL („cmpbk32.dll“) sorgt nicht nur dafür, dass die Infektion durch eine geplante Aufgabe aufrechterhalten wird, sondern ist auch für die Ausführung eines mehrschichtigen Loaders der zweiten Stufe verantwortlich, der anschließend entpackt wird, um die endgültige Nutzlast im Speicher auszuführen.
Die eingeschleuste Nutzlast, eine bisher nicht dokumentierte Backdoor namens Spinner, nutzt ausgefeilte Techniken wie die Kontrollflussverflachung, um den Programmfluss zu verschleiern, wie sie bereits von Stone Panda und Mustang Panda bei ihren Angriffen eingesetzt wurden.
„Diese Tools befinden sich seit mindestens März 2021 in der Entwicklung und nutzen fortschrittliche Umgehungs- und Anti-Analyse-Techniken wie mehrschichtige In-Memory-Loader und Verschleierungen auf Compiler-Ebene“, so Check Point.
Trotz seiner komplexen Codestruktur ist Spinner ein einfaches Implantat, das nur in der Lage ist, kompromittierte Hosts aufzuzählen und zusätzliche Nutzdaten auszuführen, die von einem entfernten Server abgerufen werden.
Check Point stellte fest, dass bei seiner Untersuchung auch eine frühere Variante der Backdoor entdeckt wurde, die auf ähnliche Weise verbreitet wird. Die Zeitstempel der Kompilierung der ausführbaren Dateien deuten darauf hin, dass die Kampagne seit Juni 2021 aktiv ist.
Interessanterweise verfügt die ältere Version zwar nicht über die Anti-Reverse-Engineering-Methoden, dafür aber über zusätzliche Funktionen, die bei Spinner fehlen, z. B. die Möglichkeit, Dateien aufzulisten und zu manipulieren, wertvolle Daten zu exfiltrieren und Betriebssystembefehle sowie beliebige heruntergeladene Nutzdaten auszuführen.
„In weniger als einem Jahr haben die Akteure die Infektionskette erheblich verbessert und komplexer gemacht“, so die Forscher. „Alle Funktionen der alten Kampagne wurden beibehalten, aber sie wurden auf mehrere Komponenten aufgeteilt, was es schwieriger macht, die einzelnen Schritte zu analysieren oder zu entdecken.“
„Die Entwicklung der Werkzeuge und Techniken in diesem Zeitraum zeigt, dass die Akteure hinter der Kampagne hartnäckig sind, um ihre Ziele auf heimliche Weise zu erreichen.