Operation Tainted Love

Sicherheitsforscher von SentinelLabs haben vor kurzem Bedrohungsaktivitäten im Nahen Osten beobachtet, die auf den Telekommunikationssektor abzielen. In der ersten Angriffsphase werden mit dem Internet verbundene Microsoft Exchange-Server infiltriert, um Webshells für die Ausführung von Befehlen zu installieren. Sobald die Angreifer Fuß gefasst haben, führen sie eine Reihe von Aktivitäten zur Spionage, zum Diebstahl von Anmeldeinformationen, zu Lateralbewegungen im Netzwerk und zur Datenexfiltration durch.

Techniken zum Diebstahl von Anmeldedaten

Im Mittelpunkt dieser neuen Kampagne steht der Einsatz einer maßgeschneiderten Malware zum Diebstahl von Credentials. Die Schadsoftware implementiert eine Reihe von Mimikatz-Modifikationen auf Closed-Source-Tools, welche als „mim221“ bezeichnet werden. Es ist davon auszugehen, dass es sich bei mim221 um eine aktuelle Version eines aktiv gepflegten Systems zur Entwendung von Anmeldeinformationen handelt, das mit neuen Funktionen zum Schutz vor Erkennung erweitert wurde. Die Verwendung von Spezialmodulen, die eine Reihe fortschrittlicher Techniken implementieren, zeigt, dass die Bedrohungsakteure bestrebt sind, ihre verwendeten Werkzeuge so gut wie möglich zu tarnen:

• In-Memory-Mapping bösartiger Bilder, um EDR-API-Hooks und dateibasierte Erkennungen zu umgehen
• Präzise Beendigung von Ereignisprotokoll-Threads anstelle des Host-Prozesses, um die Protokollierung zu verhindern, ohne Verdacht zu erregen
• Diebstahl von Anmeldeinformationen im LSASS-Prozess selbst durch Ausnutzung der Windows-eigenen Funktionen.

Eine genauere Analyse zeigt, wie pragmatisch die Bedrohungsakteure dabei vorgehen, da sie scheinbar öffentlich verfügbaren Code verwenden, um ihre Ziele zu erreichen. Man vermutet, dass eine unmittelbare Verbindung zur „Operation Soft Cell“-Kampagne existiert, doch ist der konkrete Bedrohungsakteur noch nicht bekannt. Diese Kampagne wurde öffentlich mit den Hackern von Gallium in Verbindung gebracht, und die Verwendung eines gemeinsamen Codesignaturzertifikats und von Werkzeugen, die Ähnlichkeiten im Code aufweisen, lassen auf mögliche Verbindungen zum berüchtigten Akteur APT41 schließen.

Wer ist verantwortlich für die Cyberangriffe?

Nach der Einschätzung der Sicherheitsforscher ist es sehr wahrscheinlich, dass die ersten beobachteten Angriffsphasen von chinesischen Bedrohungsakteuren mit Cyberspionagemotiven durchgeführt wurden. Telekommunikationsanbieter sind aufgrund der sensiblen Daten, die sie speichern, ein häufiges Ziel solcher Aktivitäten. Die Analyse zeigt Indikatoren, die auf die Akteure der Operation Soft Cell hindeuten.

Die Gruppe Gallium wiederum ist seit mindestens 2012 aktiv und ist wahrscheinlich eine vom chinesischen Staat gesponserte Gruppe, die es auf Telekommunikations-, Finanz- und Regierungseinrichtungen in Südostasien, Europa, Afrika und dem Nahen Osten abgesehen hat. Während der ursprüngliche Fokus der Gruppe auf Telekommunikationsanbietern lag, deuten jüngste Berichte darauf hin, dass sie in letzter Zeit auch andere Branchen ins Visier genommen hat. Der initiale Angriffsvektor und die meisten der beobachteten TTPs (Tactics Techniques & Procedures) stimmen mit denen überein, die von Soft Cell-Akteuren durchgeführt werden oder mit ihnen in Verbindung stehen. Dazu gehören der Einsatz von Webshells auf Microsoft Exchange-Servern, um zunächst Fuß zu fassen, die Befolgung der gleichen Dateinamenskonventionen, die Verwendung des LG-Tools und der integrierten Windows-Tools Net, Query und Tasklist zum Sammeln von Benutzer- und Prozessinformationen sowie das Windows-Tool PsExec Sysinternals und Net für laterale Bewegungen bzw. Erkundungen.

Wichtig zu erwähnen ist hierbei, dass die Aktivitäten der Angreifer bei einem der Ziele auf frühere Kenntnisse der Umgebung schließen lassen. Einige Monate zuvor wurden Aktivitäten an demselben Ziel beobachtet, die hauptsächlich aufgrund der Verwendung der PingPull-Backdoor und der TTPs der Gruppe Gallium zugeschrieben werden können.