Die chinesische Hacker-Gruppe Sharp Dragon

B2B Cyber Security ShortNews

Beitrag teilen

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform warnt vor der chinesischen Spionage-Hacker-Gruppe Sharp Dragon, die früher als Sharp Panda aufgetreten ist.

Sie hat ihre Aktivitäten verfeinert und setzt mittlerweile auf 1-Day-Schwachstellen, nutzt das bewährte Cobalt Strike Beacon als Nutzlast – statt einer benutzerdefinierten Backdoor – und arbeitet mit verschiedenen Funktionen, wie C2-Kommunikation und Remote Code. Gleichzeitig wählen die mutmaßlich chinesischen Hacker ihre Ziele sorgfältiger aus und betreiben bessere Aufklärung. Zudem versuchen sie ebenfalls besser, ihre eigenen Tools zu verschleiern. Die Masche derzeit: Infizierte oder vertraute Regierungsstellen und Behörden werden als Sprungbrett benutzt, um weitere zu attackieren.

Anzeige

Infizierte Regierungsstellen als Sprungbrett

Seit 2021 hat Check Point Research die Aktivitäten von Sharp Dragon genau beobachtet. Ihre Taktik besteht in erster Linie aus gezielten Phishing-E-Mails, die in der Vergangenheit zur Verbreitung von Malware wie VictoryDLL oder dem Soul-Framework geführt haben. In den letzten Monaten war jedoch eine deutliche Veränderung zu beobachten. Sharp Dragon hat seinen Schwerpunkt auf Regierungsorganisationen in Afrika und der Karibik verlagert, was eine deutliche Ausweitung seiner Aktivitäten über den ursprünglichen Bereich hinaus zeigt. Diese Aktivitäten stehen im Einklang mit dem bewährten Modus Operandi von Sharp Dragon, der durch die Kompromittierung hochrangiger E-Mail-Konten gekennzeichnet ist, um Phishing-Dokumente zu verbreiten, die eine mit RoyalRoad erstellte Remote-Vorlage als Waffe nutzen. Im Gegensatz zu früheren Taktiken setzen diese Köder jetzt jedoch Cobalt Strike Beacon ein, was auf eine strategische Anpassung zur Verbesserung ihrer Infiltrationsfähigkeiten hinweist.

Taktik und Techniken von Sharp Dragon

Zunächst nutzen die Bedrohungsakteure maßgeschneiderte Phishing-E-Mails, die oft als legitime Korrespondenz getarnt sind, um die Opfer zu verleiten, verseuchteAnhänge zu öffnen oder auf betrügerische Links zu klicken. Diese Anhänge oder Links führen Programmcodeaus, dersich im Laufe der Zeit von benutzerdefinierter Malware wie VictoryDLL und dem Soul-Framework zu weit verbreiteten Tools wie Cobalt Strike Beacon entwickelt hat. Nach erfolgreicher Ausführung etabliert sich die Malware auf dem System des Opfers und ermöglicht es den Hackern, die IT-Umgebung des Ziels zu erkunden und Informationen zu sammeln. Während die Kernfunktionalität unverändert bleibt, hat CPR doch Änderungen in den Taktiken, Techniken und Verfahren (TTPs) festgestellt. Diese Änderungen spiegeln eine sorgfältigere Auswahl der Ziele und ein stärkeres Bewusstsein für die operative Sicherheit (OPSEC) wider. Einige Änderungen umfassen:

  • Breitere Aufklärungserfassung: Der 5.t-Downloader führt jetzt eine gründlichere Erkundung der Zielsysteme durch, einschließlich der Prüfung von Prozesslisten und der Aufzählung von Ordnern, was zu einer sorgfältigeren Auswahl potenzieller Opfer führt.
  • Cobalt Strike Nutzlast: Sharp Dragon ist von der Verwendung von VictoryDll und dem SoulSearcher-Framework zu Cobalt Strike Beacon als Nutzlast für den 5.t-Downloader übergegangen, der Backdoor-Funktionen bereitstellt und gleichzeitig die Exposition benutzerdefinierter Tools minimiert, was auf einen verfeinerten Ansatz zur Zielbewertung und Minimierung der Exposition hindeutet.
  • EXE-Loader: Jüngste Beobachtungen deuten auf eine bemerkenswerte Veränderung bei 5.t-Downloadern hin, wobei einige der neuesten Beispiele EXE-basierte Loader anstelle der typischen DLL-basierten Loader enthalten, was die dynamische Entwicklung ihrer Strategien verdeutlicht.
  • Kompromittierte Infrastruktur: Sharp Dragon geht von speziellen Servern dazu über, kompromittierte Server als Command-and-Control-(C&C)-Server zu nutzen, insbesondere unter Ausnutzung der Sicherheitslücke CVE-2023-0669, die eine Schwachstelle in der GoAnywhere-Plattform darstellt, welche eine Befehlsinjektion vor der Authentifizierung ermöglicht.
Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Hackerangriff auf Stromanbieter Tibber

Vor wenigen Tagen gab es einen Hackerangriff auf den Stromanbieter Tibber und seinen Verkaufs-Store. Laut Anbieter haben die Hacker zwar ➡ Weiterlesen

Gratis Entschlüsselungs-Tool für Shrinklocker-Ransomware

Für Opfer von Attacken mit der Shrinklocker-Ransomware hat Bitdefender einen kostenlosen Dekryptor entwickelt um verschlüsselte Dateien wiederherstellen können. Das ursprünglich ➡ Weiterlesen

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

Hacker attackieren statistisches Bundesamt Destatis

Das Statistische Bundesamt - Destatis - wurde Opfer eines Hackerangriff. Da es Hinweise auf ein Datenleck gab, wurde das Meldesystem ➡ Weiterlesen

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen