Een door de Chinese staat gesponsorde spionagegroep die bekend staat als Panda overschrijven is de afgelopen weken weer opgedoken met een nieuwe phishing-aanval met als doel gevoelige informatie te stelen.
“De Chinese APT gebruikte een spear-phishing-e-mail om een baken van een Red Team-framework te leveren dat bekend staat als ‘Viper'”, Cluster25 zei in een rapport dat vorige week werd gepubliceerd.
“Het doelwit van deze aanval is momenteel onbekend, maar gezien de voorgeschiedenis van de aanval door de groep is het zeer waarschijnlijk dat het een overheidsinstelling uit een Zuid-Aziatisch land is.”
Override Panda, ook wel NaikonHellsing en Bronze Geneva, staat erom bekend dat het sinds ten minste 2005 namens Chinese belangen opereert om inlichtingenvergaringsoperaties uit te voeren die gericht zijn op ASEAN-landen.
Aanvalsketens die door de dreigingsactor zijn ontketend, omvatten het gebruik van lokdocumenten die zijn gekoppeld aan spear-phishing-e-mails die zijn ontworpen om de beoogde slachtoffers te verleiden zichzelf te openen en te compromitteren met malware.
Afgelopen april werd de groep gelinkt aan een brede cyberspionagecampagne gericht tegen militaire organisaties in Zuidoost-Azië. In augustus 2021 was Naikon eind 2020 betrokken bij cyberaanvallen op de telecomsector in de regio.
De nieuwste campagne die door Cluster25 is gespot, is niet anders, omdat het gebruikmaakt van een bewapend Microsoft Office-document om de infectie-killchain op gang te brengen, inclusief een loader die is ontworpen om een shellcode te lanceren, die op zijn beurt een baken injecteert voor de Viper Red Team-tool.
Beschikbaar om te downloaden van GitHub, Adder wordt beschreven als een “grafisch hulpmiddel voor intranetpenetratie, dat de tactieken en technologieën die gewoonlijk worden gebruikt in het proces van intranetpenetratie modulair en bewapend”.
Het framework, vergelijkbaar met Cobalt Strike, zou meer dan 80 modules bevatten om initiële toegang, persistentie, privilege-escalatie, credential Access, laterale beweging en willekeurige commando-uitvoering te vergemakkelijken.
“Door het hackarsenaal van Naikon APT te observeren, werd geconcludeerd dat deze groep de neiging heeft om langdurige inlichtingen- en spionageoperaties uit te voeren, typisch voor een groep die aanvallen wil uitvoeren op buitenlandse regeringen en functionarissen”, aldus de onderzoekers.
“Om detectie te voorkomen en het resultaat te maximaliseren, is het anders veranderd [tactics, techniques, and procedures] en gereedschap in de loop van de tijd.”
