No Comments

Chinesische „Override Panda“-Hacker tauchen mit neuen Spionageangriffen wieder auf

 

Eine staatlich geförderte chinesische Spionagegruppe namens Override Panda ist in den letzten Wochen mit einem neuen Phishing-Angriff mit dem Ziel, sensible Informationen zu stehlen, wieder aufgetaucht.

„Der chinesische APT hat eine Spear-Phishing-E-Mail verwendet, um einen Beacon eines Red-Team-Frameworks namens ‚Viper‘ zu übermitteln“, Cluster25 sagte in einem Bericht, der letzte Woche veröffentlicht wurde.

„Das Ziel dieses Angriffs ist derzeit unbekannt, aber angesichts der Vorgeschichte des von der Gruppe verübten Angriffs könnte es sich mit hoher Wahrscheinlichkeit um eine Regierungsinstitution aus einem südasiatischen Land handeln.“

Override Panda, auch bekannt als Naikon, Hellsing und Bronze Geneva , ist dafür bekannt, seit mindestens 2005 im Namen chinesischer Interessen zu operieren, um Operationen zum Sammeln von Informationen durchzuführen, die auf ASEAN-Länder.

Angriffsketten, die vom Angreifer entfesselt wurden, beinhalten die Verwendung von Lockdokumenten, die an Spear-Phishing-E-Mails angehängt sind, die dazu dienen sollen, die beabsichtigten Opfer dazu zu verleiten, sich mit Malware zu öffnen und zu kompromittieren.

Im vergangenen April wurde die Gruppe verlinkt eine weitreichende Cyberspionage-Kampagne gegen militärische Organisationen in Südostasien. Dann, im August 2021, wurde Naikon involviert an Cyberangriffen gegen den Telekommunikationssektor in der Region Ende 2020.

Die neueste Kampagne, die von Cluster25 entdeckt wurde, unterscheidet sich nicht darin, dass sie ein waffenfähiges Microsoft Office-Dokument nutzt, um die Infektions-Killchain anzukurbeln, die einen Loader enthält, der zum Starten eines Shellcodes entwickelt wurde, der wiederum ein Leuchtfeuer für das Viper-Red-Team-Tool einfügt.

Die Viper steht auf GitHub zum Download bereit und wird als “grafisches Intranet-Penetrationstool” beschrieben, das modularisiert und bewaffnet die Taktiken und Technologien, die üblicherweise im Prozess der Intranet-Durchdringung verwendet werden.”

Das Framework, ähnlich wie Cobalt Strike, soll über 80 Module verfügen, um den anfänglichen Zugriff, die Persistenz, die Eskalation von Berechtigungen, den Zugriff auf Anmeldeinformationen, die laterale Bewegung und die Ausführung willkürlicher Befehle zu erleichtern.

„Durch die Beobachtung des Hacking-Arsenals von Naikon APT wurde der Schluss gezogen, dass diese Gruppe dazu neigt, langfristige Geheimdienst- und Spionageoperationen durchzuführen, was typisch für eine Gruppe ist, die darauf abzielt, Angriffe auf ausländische Regierungen und Beamte durchzuführen“, betonten die Forscher.

„Um eine Entdeckung zu vermeiden und das Ergebnis zu maximieren, wurden im Laufe der Zeit verschiedene [Taktiken, Techniken und Verfahren] und Werkzeuge geändert.“

 

Source: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.