DLL-Hijacking

DLL-Hijacking: Asiatische Angreifer nutzen gestohlenes VPN-Zertifikat für Angriffe

, SentinelOne | Autor: Herbert Wieler

DLL-Hijacking: Asiatische Angreifer nutzen gestohlenes VPN-Zertifikat für Angriffe

Ransomware-Angriffe über gestohlenes VPN-Zertifikat

SentinelLabs, die Forschungsabteilung von SentinelOne, hat mutmaßlich chinesische Malware und Infrastruktur identifiziert, die potenziell an mit China assoziierten Geschäften beteiligt sind, welche auf den südostasiatischen Glücksspielsektor ausgerichtet sind. Die Bedrohungsakteure nutzen Adobe Creative Cloud, Microsoft Edge und McAfee VirusScan, die anfällig für DLL-Hijacking sind, um Cobalt Strike Beacons einzusetzen. Es wurde verwandte Malware beobachtet, die die Signatur eines wahrscheinlich gestohlenen Code-Signing-Zertifikats nutzt. Indizien deuten auf die mit China verbündete BRONZE STARLIGHT-Gruppe hin; eine konkrete Zuordnung bleibt jedoch schwierig.

Übersicht

Nach Chinas hartem Durchgreifen gegen die Glücksspielindustrie in Macao ist der südostasiatische Glücksspielsektor zu einem Brennpunkt für die Interessen des Landes in der Region geworden, insbesondere für die Datensammlung zur Überwachung und Bekämpfung entsprechender Aktivitäten in China.

Es wurde Schadsoftware und Infrastruktur beobachtet, die wahrscheinlich mit den auf China ausgerichteten Aktivitäten in diesem Sektor zusammenhängen. Die analysierte Malware und Infrastruktur steht in Zusammenhang mit den bei der Operation ChattyGoblin beobachteten Indikatoren und ist wahrscheinlich Teil desselben Aktivitätsclusters. Operation ChattyGoblin ist der Name, den ESET für eine Reihe von Angriffen chinesischer Akteure auf südostasiatische Glücksspielunternehmen mit trojanisierten Comm100- und LiveHelp100-Chat-Anwendungen verwendet.

Die Angaben zu den Zielen, der Malware und der C2-Infrastruktur deuten auf frühere Aktivitäten hin, die von Dritten mit der von China unterstützten BRONZE STARLIGHT-Gruppe (auch bekannt als DEV-0401 oder SLIME34) in Verbindung gebracht wurden. Dabei handelt es sich um eine mutmaßliche chinesische Ransomware-Gruppe, deren Hauptziel eher in der Spionage als in finanziellen Gewinnen zu bestehen scheint und die Ransomware als Mittel zur Ablenkung oder Fehlattribution einsetzt. Team T5 hat auch über die politisch motivierte Beteiligung von BRONZE STARLIGHT an der Bekämpfung der südostasiatischen Glücksspielindustrie berichtet.

Trotz der beobachteten Indikatoren bleibt eine genaue Zuordnung der Aktivitäten schwierig. Das chinesische APT-Ökosystem zeichnet sich durch eine umfangreiche gemeinsame Nutzung von Malware und Infrastruktur-Management-Prozessen zwischen Gruppen aus, was eine zuverlässige Clusterbildung auf der Grundlage der aktuellen Sichtbarkeit erschwert. Die aktuelle Analyse deckt historische Artefakte auf, die Konvergenzpunkte zwischen BRONZE STARLIGHT und anderen in China ansässigen Akteuren darstellen, was die Komplexität des chinesischen Bedrohungsökosystems, das aus eng miteinander verbundenen Gruppen besteht, verdeutlicht.

Analyse der Malware-Loader

agentupdate_plugins.exe und AdventureQuest.exe stellen ausführbare .NET-Dateien bereit, die auf dem SharpUnhooker-Tool basieren und Second-Stage-Daten von Alibaba-Buckets herunterladen, die auf den Seiten agenfile.oss-ap-southeast-1.aliyuncs und codewavehub.oss-ap-southeast-1.aliyuncs gehostet werden. Die Daten der zweiten Stufe werden in passwortgeschützten Zip-Archiven gespeichert.

Die von agentupdate_plugins und AdventureQuest heruntergeladenen Zip-Archive enthalten Sideloading-Funktionen. Jedes der Archive, die abgerufen werden konnten, besteht aus einer legitimen ausführbaren Datei, die für die Entführung der DLL-Suchreihenfolge anfällig ist, einer bösartigen DLL, die beim Start von der ausführbaren Datei als Sideload geladen wird, und einer verschlüsselten Datendatei namens agent.data. Die ausführbaren Dateien sind Komponenten der Softwareprodukte Adobe Creative Cloud, Microsoft Edge und McAfee VirusScan. Die bösartigen DLLs tarnen sich als ihre legitimen Gegenstücke: Sie exportieren Funktionen mit denselben Namen, sodass bestimmte Funktionen, wenn sie von den legitimen ausführbaren Dateien aufgerufen werden, den in den Datendateien eingebetteten Code entschlüsseln und ausführen. Die Datendateien, die abgerufen werden konnten, implementieren Cobalt Strike Beacons.

Gestohlenes Ivacy-VPN-Zertifikat

AdventureQuest ist mit einem Zertifikat signiert, das für den Ivacy-VPN-Anbieter PMG PTE LTD ausgestellt wurde. Es ist wahrscheinlich, dass irgendwann der PMG PTE LTD-Signierschlüssel gestohlen wurde – eine bekannte Technik chinesischer Bedrohungsakteure, um das Signieren von Malware zu ermöglichen. VPN-Anbieter sind kritische Ziele, da sie es Bedrohungsakteuren ermöglichen, Zugang zu sensiblen Nutzerdaten und -kommunikation zu erhalten.

Zum Zeitpunkt der Erstellung dieser Analyse gab es keine öffentlichen Erklärungen von PMG PTE LTD zur Klärung der Umstände, die zur Verwendung ihrer Signierschlüssel zum Signieren von Malware geführt haben. Die Zertifizierungsstelle DigiCert hat das kompromittierte Zertifikat nach einer öffentlichen Diskussion zu diesem Thema widerrufen.

Fazit

Bedrohungsakteure aus China und anderen Ländern haben in der Vergangenheit immer wieder Malware, Infrastruktur und operative Taktiken ausgetauscht und tun dies auch weiterhin. Die hier analysierten Aktivitäten veranschaulichen die komplexe Natur der chinesischen Bedrohungslandschaft.

Ein besseres Verständnis dieser Landschaft ist unerlässlich, um mit der dynamischen Entwicklung Schritt halten zu können und die Verteidigungsstrategien zu verbessern. Um dies zu erreichen, ist eine konsequente Zusammenarbeit und ein ständiger Informationsaustausch erforderlich. SentinelLabs widmet sich weiterhin dieser Aufgabe und verfolgt die damit verbundenen Bedrohungen genau.