Chinesische Hacker infiltrieren asiatischen Telekommunikationsanbieter über Jahre hinweg

MÜNCHEN (IT BOLTWISE) – Ein neuer Bericht hat aufgedeckt, dass chinesische staatlich unterstützte Hacker über vier Jahre unentdeckt in den Systemen eines großen asiatischen Telekommunikationsunternehmens operierten.

Ein kürzlich veröffentlichter Bericht von Sygnia, einem Unternehmen für Incident Response, enthüllt, dass chinesische staatlich unterstützte Hacker über vier Jahre hinweg unbemerkt in den Systemen eines großen asiatischen Telekommunikationsunternehmens operierten. Diese Gruppe, die unter dem Namen Weaver Ant verfolgt wird, zeichnet sich durch ihre heimliche und hochgradig persistente Vorgehensweise aus. Der Name des betroffenen Telekommunikationsanbieters wurde nicht bekannt gegeben.

Die Angreifer nutzten Webshells und Tunneling-Techniken, um ihre Präsenz aufrechtzuerhalten und Cyber-Spionage zu betreiben. Ziel war es, kontinuierlichen Zugang zu Telekommunikationsanbietern zu erlangen und sensible Informationen zu sammeln. Der Angriff begann mit der Ausnutzung einer öffentlich zugänglichen Anwendung, um zwei verschiedene Webshells zu platzieren: eine verschlüsselte Variante von China Chopper und ein bisher nicht dokumentiertes bösartiges Tool namens INMemory.

China Chopper wurde bereits von mehreren chinesischen Hackergruppen verwendet. INMemory hingegen ist darauf ausgelegt, einen Base64-codierten String zu dekodieren und vollständig im Speicher auszuführen, ohne Spuren auf der Festplatte zu hinterlassen. Diese Webshells dienten als Sprungbrett für die Bereitstellung weiterer Schadsoftware, darunter ein rekursives HTTP-Tunnel-Tool, das für laterale Bewegungen im Netzwerk genutzt wird.

Der verschlüsselte Datenverkehr, der durch den Webshell-Tunnel geleitet wird, ermöglicht eine Reihe von Aktionen nach der Ausnutzung, darunter das Patchen von Event Tracing for Windows (ETW) und der Antimalware Scan Interface (AMSI), um Erkennungen zu umgehen. Zudem wurden PowerShell-Befehle ausgeführt, ohne PowerShell.exe zu starten, und es wurden Erkundungsbefehle gegen die kompromittierte Active Directory-Umgebung ausgeführt, um hochprivilegierte Konten und kritische Server zu identifizieren.

Sygnia betont, dass Weaver Ant typische Merkmale einer chinesischen Cyber-Spionage-Gruppe aufweist, was durch die Zielmuster und die klar definierten Ziele der Kampagne belegt wird. Diese Verbindung wird auch durch die Verwendung der China Chopper Webshell, eines Operational Relay Box (ORB) Netzwerks und eines Outlook-basierten Backdoors, das zuvor Emissary Panda zugeschrieben wurde, untermauert.

Die Enthüllung erfolgt kurz nachdem das chinesische Ministerium für Staatssicherheit vier Personen beschuldigt hat, die angeblich mit dem taiwanesischen Militär in Verbindung stehen, Cyberangriffe gegen das chinesische Festland durchgeführt zu haben. Taiwan hat diese Anschuldigungen zurückgewiesen. Die Vorwürfe umfassen Phishing-Angriffe, Propaganda-E-Mails und Desinformationskampagnen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!