Podejrzewana operacja szpiegowska z Chin atakuje organizacje wojskowe w Azji Południowo-Wschodniej
Podejrzewana operacja szpiegowska, która dotyczy chińskich cyberprzestępców, ukierunkowała swoje działania na organizacje wojskowe w Azji Południowo-Wschodniej w ramach kampanii wspieranej przez państwo, która trwa co najmniej od 2020 roku.
Grupa Unit 42 z Palo Alto Networks monitoruje te zagrożenia pod nazwą CL-STA-1087, gdzie „CL” odnosi się do klastra, a „STA” oznacza motywację o charakterze państwowym.
Jak podkreślają badacze bezpieczeństwa Lior Rochberger i Yoav Zemah: „Działalność ta wykazuje strategiczną cierpliwość operacyjną oraz skupienie na precyzyjnym zbieraniu informacji wywiadowczych, a nie na kradzieży masowych danych. Napastnicy z tego klastra aktywnie poszukiwali i zbierali ściśle określone pliki dotyczące zdolności wojskowych, struktur organizacyjnych oraz współpracy z zachodnimi siłami zbrojnymi.”
Charakterystyka kampanii
Kampania ta nosi cechy typowe dla operacji zaawansowanego zagrożenia ciągłego (APT), takie jak starannie opracowane metody dostarczania, strategie unikania wykrycia, stabilna infrastruktura operacyjna oraz złożone wdrożenie ładunków, które mają na celu umożliwienie długotrwałego dostępu do kompromitowanych systemów.
Do narzędzi używanych przez cyberprzestępców w tej działalności należą backdoory o nazwach AppleChris oraz MemFun, a także zbieracz danych uwierzytelniających znany jako Getpass.
Wykrycie i metody ataku
Dostawca usług cyberbezpieczeństwa informuje, że wykrył zestaw intruzji, po zidentyfikowaniu podejrzanej aktywności PowerShell, która pozwalała skryptowi przechodzić w stan uśpienia przez sześć godzin, a następnie tworzyć powrotną powłokę do serwera dowodzenia kontrolowanego przez napastników. Dokładny wektor początkowego dostępu użytego w ataku pozostaje nieznany.
Sekwencja infekcji obejmuje wdrożenie AppleChris, którego różne wersje są umieszczane na docelowych punktach końcowych, aby utrzymać persistencję i unikać wykrycia na podstawie sygnatur. Cyberprzestępcy zostali zaobserwowani w trakcie poszukiwań związanych z oficjalnymi zapisami spotkań, wspólnymi działaniami wojskowymi oraz szczegółowymi ocenami zdolności operacyjnych.
„Napastnicy wykazali szczególne zainteresowanie plikami związanymi ze strukturą organizacyjną wojska oraz strategią, w tym systemami dowodzenia, kontroli, komunikacji, komputerami oraz wywiadem (C4I),” zauważyli badacze.
Mechanizmy zabezpieczeń
Obie wersje AppleChris oraz MemFun zaprojektowano w celu uzyskania dostępu do wspólnego konta Pastebin, które działa jako „resolver” do pobrania rzeczywistego adresu C2 przechowywanego w formacie Base64. Jedna z wersji AppleChris wykorzystuje również Dropbox do pozyskania informacji o C2, przy czym podejście oparte na Pastebin stanowi opcję zapasową. Pastebin z datą sprzed września 2020 roku.
AppleChris rozpoczyna kontakt z serwerem C2, aby otrzymać polecenia umożliwiające między innymi enumerację dysków, listowanie katalogów, przesyłanie / pobieranie / usuwanie plików oraz wykonanie zdalnej powłoki.
Druga wersja tunnela reprezentuje ewolucję poprzednika, używając jedynie Pastebin do uzyskania adresu C2 oraz wprowadzając zaawansowane możliwości proxy sieciowego.
„Aby obejść automatyczne systemy zabezpieczeń, niektóre z wariantów złośliwego oprogramowania stosują taktyki unikania ekranów w czasie rzeczywistym,” podaje Unit 42. „Te warianty uruchamiają opóźnione wykonanie za pomocą timerów snu wynoszących 30 sekund (EXE) i 120 sekund (DLL), skutecznie przekraczając typowe okna monitorowania automatycznych piaskownic.”
Modularność złośliwego oprogramowania
MemFun uruchamiane jest za pomocą wieloetapowego łańcucha: początkowy loader wstrzykuje shellcode odpowiedzialny za uruchamianie downloadera w pamięci, którego głównym celem jest pobieranie szczegółów konfiguracyjnych C2 z Pastebin, komunikacja z serwerem C2 oraz uzyskiwanie DLL, które wywołuje wykonanie backdoora.
Dzięki temu, że DLL jest pobierane z C2 w czasie rzeczywistym, cyberprzestępcy mają możliwość łatwego dostarczania innych ładunków bez konieczności wprowadzania zmian. To zachowanie przekształca MemFun w modułową platformę złośliwego oprogramowania, w przeciwieństwie do statycznego backdoora, jakim jest AppleChris.
Wykonanie MemFun rozpoczyna się od droppera, który wykonuje kontrole antyforensyczne przed zmianą własnego znacznika czasu utworzenia pliku, aby dopasować go do czasu utworzenia katalogu systemowego Windows. Następnie wstrzykuje główny ładunek do pamięci zawieszonego procesu związanego z „dllhost.exe” przy użyciu techniki zwanej procesowym wydrążeniem.
Dzięki temu złośliwe oprogramowanie działa pod przykrywką legalnego procesu systemu Windows, aby umknąć uwadze oraz uniknąć pozostawiania dodatkowych artefaktów na dysku.
Getpass i eskalacja uprawnień
W atakach wykorzystano również dostosowaną wersję Mimikatz znaną jako Getpass, która umożliwia eskalację uprawnień i próbuje wydobywać hasła w postaci tekstu oraz hashe NTLM i dane uwierzytelniające bezpośrednio z pamięci procesu „lsass.exe”.
„Napastnik stojący za klastrem przejawiał operacyjną cierpliwość i świadomość bezpieczeństwa,” podsumowuje Unit 42. „Utrzymali uśpiony dostęp przez wiele miesięcy, skupiając się na precyzyjnym zbieraniu informacji wywiadowczych oraz wprowadzając solidne środki bezpieczeństwa operacyjnego, aby zapewnić długowieczność kampanii.”
