Anzeige

Backdoor

Das Cybereason Nocturnus Team untersucht in seinem Bericht die jüngsten Entwicklungen beim RoyalRoad  Weaponizer, auch bekannt als 8.t Dropper / RTF Exploit Builder. Im Laufe der Jahre ist dieses Tool Bestandteil der Arsenale verschiedener chinesischer Gruppierungen wie Tick, Tonto Team und TA428 geworden.

Gruppen, die RoyalRoad regelmäßig für Spear-Phishing-Angriffe auf hochrangige Ziele einsetzen. 

Bei der Analyse der neu entdeckten RoyalRoad Samples ist das Nocturnus-Team auf eines gestoßen, das nicht nur anomale Eigenschaften aufweist, sondern auch die PortDoor-Malware ausliefert. Dabei handelt es sich um eine bisher nicht dokumentierte Backdoor, die von einem Angreifer entwickelt wurde, der wahrscheinlich im Auftrag der chinesischen Regierung arbeitet.

Was den Phishing-Köders anbelangt, ist das Ziel des Angriffs ein Generaldirektor des Rubin Design Bureau, einem in Russland ansässigen Unternehmen im Verteidigungssektor, das Atom-U-Boote für die Marine der Russischen Föderation entwickelt. 

Die wichtigsten Ergebnisse auf einen Blick:

  • RoyalRoad-Varianten in der Entwicklung: Die untersuchte Variante des RoyalRoad Weaponizers hat seine verschlüsselte Payload von der bekannten "8.t" Datei auf den neuen Dateinamen “e.o” geändert. Weitere Varianten dürften sich in der Entwicklung befinden.
  • Bislang nicht dokumentierte Backdoor: Die untersuchte, neu entdeckte RTF-Variante von RoyalRoad enthält auch eine bisher noch nicht dokumentierte Backdoor unter dem Namen PortDoor, die insbesondere daraus ausgelegt ist, die laufenden Aktivitäten zu verschleiern und die besonders hartnäckig ist, was den Verbleib im Netzwerk anbelangt. 
  • Sehr gezielter Angriff: Der Angreifer hat es speziell auf das Rubin Design Bureau abgesehen, einen Teil des russischen Verteidigungssektors, der U-Boote für die Marine der Russischen Föderation entwickelt.
  • Umfangreiche Malware-Funktionen: PortDoor verfügt über eine Reihe ausgefeilter Funktionen, darunter solche zur Aufklärung, zum Erstellen von Zielprofilen und um zusätzliche Payloads bereitzustellen sowie Zugriffsberechtigungen auszuweiten. Dazu kommen Fähigkeiten zur Prozessmanipulation und statischen Erkennung, das Umgehen von Antiviren-Lösungen, Ein-Byte-XOR-Verschlüsselung, FES-verschlüsselte Datenexfiltration und weitere mehr.
  • APT-Gruppe im Auftrag des chinesischen Staates: Die gesammelten Indizien wie der Infektionsvektor, die Art des Angriffs über Social Engineering, die Verwendung von RoyalRoad gegen andere Ziele und weitere Ähnlichkeiten zwischen dem neu entdeckten Backdoor-Sample und anderer, bekannter chinesischer APT-Malware sind typisch für Angreifer, die im Auftrag des chinesischen Staates unterwegs sind. 

Zuschreibung

Zum Zeitpunkt dieser Analyse waren noch nicht genügend Informationen verfügbar, um die neu entdeckte Backdoor mit hinreichender Sicherheit einem bekannten Angreifer zuzuschreiben. Es gibt jedoch bekannte chinesische APT-Gruppen, die einige Ähnlichkeiten mit dem Angreifer aufweisen, der hinter den neuen Malware-Varianten steckt. 

Basierend auf früheren Aktivitäten von nao_sec stellte das Nocturnus-Team fest, dass die hier diskutierte RTF-Datei auf RoyalRoad v7 mit der indikativen Header-Codierung „b0747746“ basiert. Und die wurde zuvor von Gruppierungen wie Tonto-Teams, TA428 und Rancor verwendet: 

Schon in der Vergangenheit hatten das Tonto-Team und TA428-Gruppe russische Organisationen angegriffen, insbesondere Ziele in den Bereichen Forschung und Verteidigung. So wurde bereits berichtet, dass das Tonto-Team russische Organisationen mit der Bisonal-Malware angegriffen hatte.

Beim Vergleich der Spear-Phishing-E-Mails bei diesen Angriffen mit den zuvor untersuchten Phishing-E-Mails und Ködern, die vom Tonto-Team verwendet wurden, gibt es gewisse sprachliche und visuelle Übereinstimmungen. Die neu entdeckte Backdoor scheint aber keine signifikanten Code-Ähnlichkeiten mit zuvor bekannter Malware aufzuweisen wie sie die oben genannten Gruppen verwenden, abgesehen von zufälligen und üblichen Ähnlichkeiten bei Backdoors im Allgemeinen. Dies führt zu dem Schluss, dass es sich nicht um eine Variante einer bekannten, sondern tatsächlich um eine neuartige Malware handelt, die erst kürzlich entwickelt wurde. 

Trotzdem könnten auch andere bekannte oder noch unbekannte Gruppen hinter dem Angriff und der Entwicklung der PortDoor-Backdoor stecken. 

Fazit

RoyalRoad war einer der in den letzten Jahren am häufigsten verwendeten RTF-Weaponizer im Umfeld chinesischer Angreifer. In der anfänglichen Kompromittierungsphase wird meist Spear-Phishing eingesetzt, um Opfer zum Öffnen bösartig manipulierter Dokumente zu verleiten. Die wiederum nutzen Schwachstellen im Microsoft Equation Editor aus, um verschiedene Arten von Malware zu platzieren. 

Die jüngsten Änderungen am RoyalRoad Weaponizer weichen von einigen seiner gut dokumentierten und vorhersehbaren Indikatoren ab. Dies ist möglicherweise ein Hinweis darauf, dass die Angreifer versuchen, die Entdeckung zu erschweren. Dazu kommt die Entdeckung der neuartigen PortDoor-Backdoor, ein bislang nicht dokumentiertes, unauffälliges Tool, das den Angreifern Zugang zu den Zielrechnern der Opfer verschafft, dort Informationen sammelt und zusätzliche Payloads einschleust. 

Zum Zeitpunkt der Erstellung des Berichts ist noch unklar, welcher Akteur hinter der neuen Backdoor steckt. Das Cybereason Nocturnus-Team konnte jedoch zwei potenzielle Verdächtige identifiziert, auf die das Profil passt. Derzeit sind allerdings noch keine ausreichenden Beweise vorhanden, um die Hypothese zweifelsfrei zu belegen.

https://www.cybereason.com/


Weitere Artikel

Cyber Attacke

Angriffe auf KRITIS häufen sich und werden immer verheerender

Angriffe auf kritische Infrastrukturen sind nicht neu. Neu und beispiellos ist jedoch die Größenordnung und die Auswirkungen, die der jüngste Ransomware-Angriff auf ein einzelnes Unternehmen hatte, das 45% des an der Ostküste der Vereinigten Staaten…
Hackerangriff

Best of Hacks: Highlights März 2021

Im März rücken unter anderem die Europäische Bankenauf-sichtsbehörde EBA und der PC-Hersteller Acer in den Fokus von Cyberkriminellen. Sicherheitslücken machten zudem unbefugte Zugriffe beim Sicherheitsunternehmen Verkada und bei mehreren Testzentren in…
Hacker Corona

Warnung vor betrügerischer E-Mail Kampagne mit Pfizer-Corona-Impfumfrage

Mit dem vermeintlichen Absender Pfizer und unter dem Vorwand, Umfragen zum Thema Corona-Impfstoffe durchzuführen, haben Betrüger seit April persönliche Daten und möglicherweise auch Geld von mehr als 200.000 Verbrauchern erbeutet.
Bot

Emotet ist tot! ­ Lang lebe Qbot!

Der aktuelle Bedrohungsreport von G DATA zeigt, dass Cyberkriminelle bereits einen Nachfolger für Emotet gefunden haben: Qbot. Bei fast jedem vierten abgewehrten Angriff war die Schadsoftware mit von der Partie. Die Zahlen belegen, dass im ersten Quartal…
Ransomware

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Phishing

Finanzdienstleister im Visier: 125 Prozent mehr Phishing-Angriffe im Jahr 2020

Lookout, ein Unternehmen für integrierte Endpoint-to-Cloud-Sicherheit, veröffentlicht aktuell einen Bericht, aus dem hervorgeht, dass sich das Risiko für mobiles Phishing bei Finanzdienstleistern und Versicherungen zwischen 2019 und 2020 verdoppelt hat.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.