Chinesische APT-Backdoor richtet sich gegen den russischen Verteidigungssektor

Das Cybereason Nocturnus Team untersucht in seinem Bericht die jüngsten Entwicklungen beim RoyalRoad  Weaponizer, auch bekannt als 8.t Dropper / RTF Exploit Builder. Im Laufe der Jahre ist dieses Tool Bestandteil der Arsenale verschiedener chinesischer Gruppierungen wie Tick, Tonto Team und TA428 geworden.

Gruppen, die RoyalRoad regelmäßig für Spear-Phishing-Angriffe auf hochrangige Ziele einsetzen. 

Anzeige

Bei der Analyse der neu entdeckten RoyalRoad Samples ist das Nocturnus-Team auf eines gestoßen, das nicht nur anomale Eigenschaften aufweist, sondern auch die PortDoorMalware ausliefert. Dabei handelt es sich um eine bisher nicht dokumentierte Backdoor, die von einem Angreifer entwickelt wurde, der wahrscheinlich im Auftrag der chinesischen Regierung arbeitet.

Was den Phishing-Köders anbelangt, ist das Ziel des Angriffs ein Generaldirektor des Rubin Design Bureau, einem in Russland ansässigen Unternehmen im Verteidigungssektor, das Atom-U-Boote für die Marine der Russischen Föderation entwickelt. 

Die wichtigsten Ergebnisse auf einen Blick:

  • RoyalRoad-Varianten in der Entwicklung: Die untersuchte Variante des RoyalRoad Weaponizers hat seine verschlüsselte Payload von der bekannten “8.t” Datei auf den neuen Dateinamen “e.o” geändert. Weitere Varianten dürften sich in der Entwicklung befinden.
  • Bislang nicht dokumentierte Backdoor: Die untersuchte, neu entdeckte RTF-Variante von RoyalRoad enthält auch eine bisher noch nicht dokumentierte Backdoor unter dem Namen PortDoor, die insbesondere daraus ausgelegt ist, die laufenden Aktivitäten zu verschleiern und die besonders hartnäckig ist, was den Verbleib im Netzwerk anbelangt. 
  • Sehr gezielter Angriff: Der Angreifer hat es speziell auf das Rubin Design Bureau abgesehen, einen Teil des russischen Verteidigungssektors, der U-Boote für die Marine der Russischen Föderation entwickelt.
  • Umfangreiche Malware-Funktionen: PortDoor verfügt über eine Reihe ausgefeilter Funktionen, darunter solche zur Aufklärung, zum Erstellen von Zielprofilen und um zusätzliche Payloads bereitzustellen sowie Zugriffsberechtigungen auszuweiten. Dazu kommen Fähigkeiten zur Prozessmanipulation und statischen Erkennung, das Umgehen von Antiviren-Lösungen, Ein-Byte-XOR-Verschlüsselung, FES-verschlüsselte Datenexfiltration und weitere mehr.
  • APT-Gruppe im Auftrag des chinesischen Staates: Die gesammelten Indizien wie der Infektionsvektor, die Art des Angriffs über Social Engineering, die Verwendung von RoyalRoad gegen andere Ziele und weitere Ähnlichkeiten zwischen dem neu entdeckten Backdoor-Sample und anderer, bekannter chinesischer APT-Malware sind typisch für Angreifer, die im Auftrag des chinesischen Staates unterwegs sind. 

Zuschreibung

Zum Zeitpunkt dieser Analyse waren noch nicht genügend Informationen verfügbar, um die neu entdeckte Backdoor mit hinreichender Sicherheit einem bekannten Angreifer zuzuschreiben. Es gibt jedoch bekannte chinesische APT-Gruppen, die einige Ähnlichkeiten mit dem Angreifer aufweisen, der hinter den neuen Malware-Varianten steckt. 

Basierend auf früheren Aktivitäten von nao_sec stellte das Nocturnus-Team fest, dass die hier diskutierte RTF-Datei auf RoyalRoad v7 mit der indikativen Header-Codierung „b0747746“ basiert. Und die wurde zuvor von Gruppierungen wie Tonto-Teams, TA428 und Rancor verwendet: 

Schon in der Vergangenheit hatten das Tonto-Team und TA428-Gruppe russische Organisationen angegriffen, insbesondere Ziele in den Bereichen Forschung und Verteidigung. So wurde bereits berichtet, dass das Tonto-Team russische Organisationen mit der Bisonal-Malware angegriffen hatte.

Beim Vergleich der Spear-Phishing-E-Mails bei diesen Angriffen mit den zuvor untersuchten Phishing-E-Mails und Ködern, die vom Tonto-Team verwendet wurden, gibt es gewisse sprachliche und visuelle Übereinstimmungen. Die neu entdeckte Backdoor scheint aber keine signifikanten Code-Ähnlichkeiten mit zuvor bekannter Malware aufzuweisen wie sie die oben genannten Gruppen verwenden, abgesehen von zufälligen und üblichen Ähnlichkeiten bei Backdoors im Allgemeinen. Dies führt zu dem Schluss, dass es sich nicht um eine Variante einer bekannten, sondern tatsächlich um eine neuartige Malware handelt, die erst kürzlich entwickelt wurde. 

Trotzdem könnten auch andere bekannte oder noch unbekannte Gruppen hinter dem Angriff und der Entwicklung der PortDoor-Backdoor stecken. 

Fazit

RoyalRoad war einer der in den letzten Jahren am häufigsten verwendeten RTF-Weaponizer im Umfeld chinesischer Angreifer. In der anfänglichen Kompromittierungsphase wird meist Spear-Phishing eingesetzt, um Opfer zum Öffnen bösartig manipulierter Dokumente zu verleiten. Die wiederum nutzen Schwachstellen im Microsoft Equation Editor aus, um verschiedene Arten von Malware zu platzieren. 

Die jüngsten Änderungen am RoyalRoad Weaponizer weichen von einigen seiner gut dokumentierten und vorhersehbaren Indikatoren ab. Dies ist möglicherweise ein Hinweis darauf, dass die Angreifer versuchen, die Entdeckung zu erschweren. Dazu kommt die Entdeckung der neuartigen PortDoor-Backdoor, ein bislang nicht dokumentiertes, unauffälliges Tool, das den Angreifern Zugang zu den Zielrechnern der Opfer verschafft, dort Informationen sammelt und zusätzliche Payloads einschleust. 

Zum Zeitpunkt der Erstellung des Berichts ist noch unklar, welcher Akteur hinter der neuen Backdoor steckt. Das Cybereason Nocturnus-Team konnte jedoch zwei potenzielle Verdächtige identifiziert, auf die das Profil passt. Derzeit sind allerdings noch keine ausreichenden Beweise vorhanden, um die Hypothese zweifelsfrei zu belegen.

https://www.cybereason.com/

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.