No Comments

Chinesische Hacker beim Diebstahl von geistigem Eigentum von multinationalen Unternehmen erwischt

 

Eine schwer fassbare und ausgeklügelte Cyberspionage-Kampagne, die von der von China unterstützten Winnti-Gruppe orchestriert wird, hat es geschafft, seit mindestens 2019 unter dem Radar zu fliegen.

Die vom israelischen Cybersicherheitsunternehmen Cybereason als „Operation CuckooBees“ bezeichnete massive Operation zum Diebstahl geistigen Eigentums ermöglichte es dem Angreifer, Hunderte von Gigabyte an Informationen zu exfiltrieren.

Zu den Zielen gehörten Technologie- und Fertigungsunternehmen, die hauptsächlich in Ostasien, Westeuropa und Nordamerika ansässig sind.

„Die Angreifer zielten auf von den Opfern entwickeltes geistiges Eigentum, einschließlich sensibler Dokumente, Blaupausen, Diagramme, Formeln und herstellerbezogener geschützter Daten“, so die Forscher sagte.

“Darüber hinaus sammelten die Angreifer Informationen, die für zukünftige Cyberangriffe verwendet werden könnten, wie Details über die Geschäftseinheiten des Zielunternehmens, die Netzwerkarchitektur, Benutzerkonten und Anmeldeinformationen, Mitarbeiter-E-Mails und Kundendaten.”

Winnti, das auch von anderen Cybersicherheitsanbietern unter den Namen APT41, Axiom, Barium und Bronze Atlas verfolgt wird, ist bekanntermaßen seit mindestens 2007 aktiv.

„Die Absicht der Gruppe ist der Diebstahl von geistigem Eigentum von Organisationen in Industrieländern, und mit mäßigem Vertrauen, dass dies im Namen Chinas geschieht, um die Entscheidungsfindung in einer Reihe chinesischer Wirtschaftssektoren zu unterstützen“, sagt Secureworks Notizen in einem Bedrohungsprofil des Akteurs.

Die von Cybereason dokumentierte mehrphasige Infektionskette beinhaltet die Ausnutzung von mit dem Internet verbundenen Servern zur Bereitstellung einer Web-Shell mit dem Ziel, Aufklärungs-, Querbewegungs- und Datenexfiltrationsaktivitäten durchzuführen.

Es ist sowohl komplex als auch kompliziert und folgt einem „Kartenhaus“-Ansatz, bei dem jede Komponente der Killchain von anderen Modulen abhängt, um zu funktionieren, was die Analyse äußerst schwierig macht.

„Dies zeigt den Gedanken und die Mühe, die sowohl in die Überlegungen zur Malware als auch in die Betriebssicherheit gesteckt wurden, was eine Analyse fast unmöglich macht, wenn nicht alle Teile des Puzzles in der richtigen Reihenfolge zusammengesetzt werden“, erklärten die Forscher.

Die Datenernte wird durch einen modularen Loader namens Spyder erleichtert, der zum Entschlüsseln und Laden zusätzlicher Payloads verwendet wird. Außerdem werden vier verschiedene Payloads – STASHLOG, SPARKLOG, PRIVATELOG und DEPLOYLOG – verwendet, die nacheinander bereitgestellt werden, um das WINNKIT, ein Rootkit auf Kernel-Ebene, zu löschen.

Entscheidend für die Tarnung der Kampagne ist der Einsatz von „selten gesehenen“ Techniken wie dem Missbrauch des Windows Common Log File System (CLFS) Mechanismus zum Verstauen der Payloads, wodurch die Hackergruppe ihre Payloads verbergen und der Erkennung durch herkömmliche Sicherheitsprodukte entgehen.

Interessanterweise wurden Teile der Angriffssequenz bereits im September 2021 von Mandiant detailliert beschrieben, wobei auf den Missbrauch von CLFS hingewiesen wurde, um Nutzlasten der zweiten Stufe zu verbergen, um die Erkennung zu umgehen.

Die Cybersicherheitsfirma schrieb die Malware einem unbekannten Akteur zu, warnte jedoch davor, dass sie als Teil einer sehr gezielten Aktivität eingesetzt worden sein könnte.

„Da das Dateiformat nicht weit verbreitet oder dokumentiert ist, gibt es keine verfügbaren Tools, die CLFS-Protokolldateien parsen können“, sagt Mandiant sagte damals. „Das gibt Angreifern die Möglichkeit, ihre Daten bequem als Log-Records zu verstecken, weil diese über API-Funktionen zugänglich sind.“

WINNKIT seinerseits hat einen Kompilierungszeitstempel von Mai 2019 und fast null Erkennung Rate in VirusTotal, was die ausweichende Natur der Malware hervorhebt, die es den Autoren ermöglichte, jahrelang unentdeckt zu bleiben.

Das ultimative Ziel der Eingriffe, so die Einschätzung der Forscher, besteht darin, proprietäre Informationen, Forschungsdokumente, Quellcode und Blaupausen für verschiedene Technologien abzuschöpfen.

„Winnti ist eine der fleißigsten Gruppen, die im Auftrag chinesischer staatsnaher Interessen operiert“, sagte Cybereason. „Der Bedrohungsakteur verwendete eine ausgeklügelte, mehrstufige Infektionskette, die entscheidend dafür war, dass die Gruppe so lange unentdeckt bleiben konnte.“

 

Quelle: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.