Chinese „Twisted Panda“-hackers betrapt op spionage op Russische defensie-instituten

Des hackers chinois "Twisted Panda" surpris en train d'espionner des instituts de défense russes Nachrichten

Ten minste twee onderzoeksinstituten in Rusland en een derde waarschijnlijk doelwit in Wit-Rusland zijn slachtoffer geweest van een spionageaanval door een geavanceerde aanhoudende dreiging (APT) van de Chinese natiestaat.

De aanvallen, met de codenaam „Gedraaide Panda,“ komen tegen de achtergrond van de Russische militaire invasie van Oekraïne, wat een breed scala aan dreigingsactoren ertoe bracht hun campagnes snel aan te passen aan het aanhoudende conflict om malware te verspreiden en opportunistische aanvallen uit te voeren.

Ze zijn gematerialiseerd in de vorm van social engineering-schema’s met actuele oorlogs- en sanctie-aas georkestreerd om potentiële slachtoffers te misleiden om op kwaadaardige links te klikken of bewapende documenten te openen.

Het Israëlische cyberbeveiligingsbedrijf Check Point, dat onthuld details van de laatste operatie voor het verzamelen van inlichtingen, toegeschreven aan een Chinese bedreigingsacteur, met connecties met die van Stone Panda (ook bekend als APT 10, Cicada of Kalium) en Mustang Panda (ook bekend als Bronze President, HoneyMyte of RedDelta).

Noemde het een voortzetting van „een langlopende spionageoperatie tegen aan Rusland gerelateerde entiteiten die al sinds ten minste juni 2021 actief is“, zouden de meest recente sporen van de activiteit pas in april 2022 zijn waargenomen.

De doelwitten waren onder meer twee onderzoeksinstellingen op het gebied van defensie die behoren tot het Russische staatsdefensieconglomeraat Rostec Corporation en een onbekende entiteit in de Wit-Russische stad Minsk.

De phishing-aanvallen begonnen met e-mails die een link bevatten die zich voordoet als het Ministerie van Volksgezondheid van Rusland, maar in werkelijkheid een door een aanvaller gecontroleerd domein is, evenals een lokmiddel van Microsoft Word-document dat is ontworpen om de infectie te activeren en een loader te laten vallen.

De 32-bits DLL („cmpbk32.dll“) is niet alleen verantwoordelijk voor het tot stand brengen van persistentie door middel van een geplande taak, maar is ook verantwoordelijk voor het uitvoeren van een meerlaagse loader van de tweede fase, die vervolgens wordt uitgepakt om de uiteindelijke payload in het geheugen uit te voeren.

De geïnjecteerde lading, een voorheen ongedocumenteerde achterdeur genaamd Spinner, maakt gebruik van geavanceerde technieken zoals: controle stroomafvlakking om de programmastroom te verbergen, eerder geïdentificeerd als gebruikt door beide Stenen Panda en Mustang Panda in hun aanvallen.

„Deze tools zijn in ontwikkeling sinds ten minste maart 2021 en maken gebruik van geavanceerde ontwijkings- en anti-analysetechnieken zoals meerlaagse in-memory loaders en verduisteringen op compilerniveau“, aldus Check Point.

Ondanks zijn complexe codestructuur, is Spinner een barebones-implantaat dat alleen is uitgerust om gecompromitteerde hosts op te sommen en extra payloads uit te voeren die zijn opgehaald van een externe server.

Check Point merkte op dat zijn onderzoek ook een eerdere variant van de achterdeur aan het licht bracht die op een vergelijkbare manier wordt verspreid, wat aangeeft dat de campagne sinds juni 2021 actief is op basis van de compilatietijdstempels van de uitvoerbare bestanden.

Maar in een interessante wending, terwijl de oudere versie niet de anti-reverse engineering-methoden bevat, compenseert het dit door extra functies te hebben die ontbreken in Spinner, waaronder de mogelijkheid om bestanden op te sommen en te manipuleren, waardevolle gegevens te exfiltreren en de bediening uit te voeren. systeemopdrachten en willekeurige gedownloade payloads.

„In minder dan een jaar hebben de actoren de infectieketen aanzienlijk verbeterd en complexer gemaakt“, aldus de onderzoekers. „Alle functionaliteit van de oude campagne bleef behouden, maar deze was verdeeld over meerdere componenten, waardoor het moeilijker was om elke fase te analyseren of te detecteren.“

„De evolutie van de tools en technieken gedurende deze periode geeft aan dat de actoren achter de campagne volhardend zijn in het bereiken van hun doelen op een heimelijke manier.“

David
Rate author
Hackarizona