Chinesische Hackergruppe APT41 zielt auf afrikanische IT-Infrastruktur

LONDON (IT BOLTWISE) – Eine neue Cyber-Spionagekampagne, die von der berüchtigten chinesischen Hackergruppe APT41 ausgeht, hat die IT-Infrastruktur von Regierungsdiensten in Afrika ins Visier genommen. Diese Gruppe, bekannt für ihre Angriffe auf verschiedene Sektoren weltweit, hat nun ihre Aktivitäten auf den afrikanischen Kontinent ausgeweitet.

Die Hackergruppe APT41, die mit dem chinesischen Staat in Verbindung gebracht wird, hat eine neue Kampagne gestartet, die sich gezielt gegen die IT-Infrastruktur von Regierungsdiensten in Afrika richtet. Diese Gruppe ist bekannt für ihre Angriffe auf zahlreiche Sektoren, darunter Telekommunikation, Energieversorger, Bildungseinrichtungen und Gesundheitsorganisationen in über drei Dutzend Ländern. Der jüngste Angriff auf Afrika ist bemerkenswert, da dieser Kontinent bisher weniger im Fokus dieser Bedrohungsakteure stand.

Die russische Cybersicherheitsfirma Kaspersky hat die Aktivitäten von APT41 untersucht, nachdem sie verdächtige Aktivitäten auf mehreren Arbeitsstationen einer nicht genannten Organisation festgestellt hatte. Die Angreifer nutzten dabei fest codierte Namen interner Dienste, IP-Adressen und Proxy-Server, die in ihrer Malware eingebettet waren. Ein bemerkenswerter Aspekt der Angriffe war die Nutzung eines SharePoint-Servers innerhalb der Infrastruktur des Opfers als Kommando- und Kontrollserver (C2).

Die Angreifer führten Befehle aus, um die Verfügbarkeit ihres C2-Servers zu überprüfen, entweder direkt oder über einen internen Proxy-Server innerhalb der kompromittierten Entität. Die Quelle der verdächtigen Aktivitäten war ein unüberwachter Host, der kompromittiert worden war. Die Angreifer nutzten Impacket, um in den Kontext eines Dienstkontos einzudringen, und setzten die Module Atexec und WmiExec ein, bevor sie ihre Operationen vorübergehend einstellten.

Nach der ersten Kompromittierung sammelten die Angreifer Anmeldeinformationen von privilegierten Konten, um die Privilegieneskalation und laterale Bewegungen zu erleichtern. Schließlich setzten sie Cobalt Strike für die C2-Kommunikation ein, indem sie DLL-Sideloading nutzten. Die bösartigen DLLs überprüften die installierten Sprachpakete auf dem Host und führten die Ausführung nur fort, wenn bestimmte Sprachpakete nicht erkannt wurden, darunter Japanisch, Koreanisch, Chinesisch (Festland) und Chinesisch (Taiwan).

Ein weiteres Merkmal des Angriffs war die Nutzung eines gehackten SharePoint-Servers für C2-Zwecke, wobei dieser verwendet wurde, um Befehle zu senden, die von einer C#-basierten Malware auf den Opfer-Hosts ausgeführt wurden. Die Angreifer verteilten Dateien namens agents.exe und agentx.exe über das SMB-Protokoll, um mit dem Server zu kommunizieren. Diese Dateien waren tatsächlich C#-Trojaner, deren Hauptfunktion darin bestand, Befehle auszuführen, die sie von einer Web-Shell namens CommandHandler.aspx erhielten, die auf dem SharePoint-Server installiert war.

Die Angreifer führten auch Folgeaktivitäten auf Maschinen durch, die nach der ersten Aufklärung als wertvoll erachtet wurden. Dies geschah durch das Ausführen eines cmd.exe-Befehls, um eine bösartige HTML-Anwendung (HTA) von einer externen Ressource herunterzuladen und diese mit mshta.exe auszuführen. Die genaue Natur der über die externe URL gelieferten Nutzlast, die eine Domain nachahmt, die GitHub ähnelt, ist derzeit unbekannt. Eine Analyse eines der zuvor verteilten Skripte zeigt jedoch, dass es darauf ausgelegt ist, eine Reverse-Shell zu erzeugen, wodurch die Angreifer die Möglichkeit erhalten, Befehle auf dem infizierten System auszuführen.

Darüber hinaus wurden in den Angriffen Stealer und Tools zur Ernte von Anmeldeinformationen eingesetzt, um sensible Daten zu sammeln und die Details über den SharePoint-Server zu exfiltrieren. Zu den von den Angreifern eingesetzten Werkzeugen gehören modifizierte Versionen von Pillager, um Anmeldeinformationen aus Browsern, Datenbanken und administrativen Hilfsprogrammen wie MobaXterm zu stehlen, sowie RawCopy, um rohe Registrierungsdateien zu kopieren, und Mimikatz, um Kontodaten zu extrahieren.

Die Angreifer verwenden eine breite Palette von sowohl selbst entwickelten als auch öffentlich verfügbaren Tools. Insbesondere setzen sie Penetrationstests-Tools wie Cobalt Strike in verschiedenen Phasen eines Angriffs ein. Sie passen sich schnell an die Infrastruktur ihrer Ziele an und aktualisieren ihre bösartigen Werkzeuge, um spezifische Merkmale zu berücksichtigen. Sie können sogar interne Dienste für die C2-Kommunikation und Datenexfiltration nutzen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!