Een door de Chinese staat gesteunde Advanced Persistent Threat (APT)-groep die bekend staat om het uitkiezen van Japanse entiteiten, is toegeschreven aan een nieuwe langlopende spionagecampagne gericht op nieuwe regio’s, wat suggereert dat de targeting van de dreigingsactor “uitbreidt”.
De wijdverbreide inbraken, waarvan wordt aangenomen dat ze op zijn vroegst medio 2021 zijn begonnen en pas in februari 2022 zijn doorgegaan, zijn gekoppeld aan een groep die werd gevolgd als Cicadeook wel bekend als APT10, Stone Panda, Potassium, Bronze Riverside of MenuPass Team.
“Slachtoffers in deze Cicada-campagne (ook bekend als APT10) zijn onder meer overheids-, juridische, religieuze en niet-gouvernementele organisaties (NGO’s) in meerdere landen over de hele wereld, waaronder Europa, Azië en Noord-Amerika”, onderzoekers van het Symantec Threat Hunter-team , onderdeel van Broadcom Software, zei in een rapport gedeeld met The Hacker News.
“Er is een sterke focus op slachtoffers bij de overheid en NGO’s, waarbij sommige van deze organisaties werken op het gebied van religie en onderwijs”, vertelde Brigid O. Gorman, senior informatieontwikkelaar bij het Symantec Threat Hunter Team, aan The Hacker News.
De meeste van de beoogde organisaties bevinden zich in de VS, Canada, Hong Kong, Turkije, Israël, India, Montenegro en Italië, naast één slachtoffer in Japan, waarbij de tegenstander wel negen maanden op de netwerken van sommige van deze slachtoffers doorbrengt .
“Er zijn ook enkele slachtoffers in de telecom-, juridische en farmaceutische sector, maar overheids- en non-profitorganisaties leken de belangrijkste focus in deze campagne te zijn geweest”, voegde Gorman eraan toe.
In maart 2021 haalden Kaspersky-onderzoekers de afronding van een inlichtingenvergarende operatie die door de groep was ondernomen om informatieverzamelende implantaten uit een aantal industriesectoren in Japan in te zetten.
Eerder in februari was Stone Panda betrokken bij een georganiseerde aanval op de toeleveringsketen gericht op de financiële sector van Taiwan met als doel gevoelige informatie te stelen van gecompromitteerde systemen.
De nieuwe reeks aanvallen die door Symantec zijn waargenomen, begint met het verkrijgen van de eerste toegang door de actoren door middel van een bekende, niet-gepatchte kwetsbaarheid in Microsoft Exchange Servers, die deze gebruiken om hun achterdeur naar keuze in te zetten, Frisdrank Master.
“We hebben echter niet waargenomen dat de aanvallers misbruik maakten van een specifieke kwetsbaarheid, dus we kunnen niet zeggen of ze ProxyShell of ProxyLogon hebben gebruikt. [flaws]’, zei Gorman.
SodaMaster is een op Windows gebaseerde trojan voor externe toegang die is uitgerust met functies om het ophalen van extra payloads te vergemakkelijken en de informatie terug te exfiltreren naar de command-and-control (C2) -server.
Andere tools die tijdens de infiltraties werden ingezet, zijn onder meer het Mimikatz-hulpprogramma voor het dumpen van referenties, NBTScan om interne verkenningen uit te voeren, WMIExec voor het uitvoeren van opdrachten op afstand en VLC Media Player om een aangepaste loader op de geïnfecteerde host te starten.
“Deze campagne met slachtoffers in zo’n groot aantal sectoren lijkt aan te tonen dat de groep nu geïnteresseerd is in een grotere verscheidenheid aan doelen”, zei Gorman.
“Het soort organisaties waarop wordt getarget – non-profitorganisaties en overheidsorganisaties, inclusief die welke betrokken zijn bij religieuze en educatieve activiteiten – zijn het meest waarschijnlijk interessant voor de groep voor spionagedoeleinden. Het soort activiteit dat we zien op slachtoffermachines en eerdere Cicada-activiteiten zijn ook allemaal wijzen erop dat de motivatie achter deze campagne spionage is.”
