Ein chinesischsprachiger Bedrohungsakteur namens Scarab wurde mit einer benutzerdefinierten Backdoor namens HeaderTip in Verbindung gebracht, die Teil einer Kampagne ist, die auf die Ukraine abzielt, seit Russland im letzten Monat eine Invasion begonnen hat, und ist damit nach Mustang Panda die zweite Hackergruppe aus China, die aus dem Konflikt Kapital schlägt.
Damit ist sie nach Mustang Panda die zweite Hackergruppe mit Sitz in China, die aus dem Konflikt Kapital schlägt. „Die bösartigen Aktivitäten sind eines der ersten öffentlichen Beispiele eines chinesischen Bedrohungsakteurs, der die Ukraine seit Beginn der Invasion ins Visier genommen hat“, so SentinelOne-Forscher Tom Hegel in einem diese Woche veröffentlichten Bericht.
Die Analyse von SentinelOne folgt auf eine Meldung des ukrainischen Computer Emergency Response Teams (CERT-UA) von Anfang der Woche, in der eine Spear-Phishing-Kampagne beschrieben wird, die zum Versand einer RAR-Archivdatei führt, die eine ausführbare Datei enthält, die eine Täuschungsdatei öffnen soll, während im Hintergrund eine bösartige DLL namens HeaderTip abgelegt wird.
Scarab wurde zum ersten Mal im Januar 2015 vom Symantec Threat Hunter Team, das zu Broadcom Software gehört, dokumentiert. Es berichtete über gezielte Angriffe auf russischsprachige Personen seit mindestens Januar 2012, um eine Backdoor namens Scieron einzubauen.
„Wenn die Angreifer die Computer der Opfer erfolgreich kompromittieren, verwenden sie eine grundlegende Backdoor-Bedrohung namens Trojan.Scieron, um Trojan.Scieron.B auf dem Computer abzulegen“, so die Symantec-Forscher damals. „Trojan.Scieron.B hat eine Rootkit-ähnliche Komponente, die einen Teil seiner Netzwerkaktivitäten verbirgt und eine erweiterte Backdoor-Funktionalität bietet.
Die Verbindungen von HeaderTip zu Scarab ergeben sich aus Malware- und Infrastrukturüberschneidungen mit Scieron, den SentinelOne als Vorgänger der neu entdeckten Hintertür bezeichnet. HeaderTip ist eine 32-Bit-DLL-Datei, die in C++ geschrieben wurde. Sie ist 9,7 KB groß und ihre Funktionalität beschränkt sich darauf, als First-Stage-Paket zu fungieren, um die Next-Stage-Module von einem Remote-Server zu holen.
„Basierend auf den bekannten Zielen seit 2020, einschließlich der Angriffe auf die Ukraine im März 2022, und der spezifischen Sprachverwendung gehen wir mit mittlerer Sicherheit davon aus, dass Scarab chinesischsprachig ist und für geopolitische Aufklärungszwecke eingesetzt wird“, so Hegel.