Die chinesische Hacker-Gruppe Sharp Dragon

B2B Cyber Security ShortNews

Beitrag teilen

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform warnt vor der chinesischen Spionage-Hacker-Gruppe Sharp Dragon, die früher als Sharp Panda aufgetreten ist.

Sie hat ihre Aktivitäten verfeinert und setzt mittlerweile auf 1-Day-Schwachstellen, nutzt das bewährte Cobalt Strike Beacon als Nutzlast – statt einer benutzerdefinierten Backdoor – und arbeitet mit verschiedenen Funktionen, wie C2-Kommunikation und Remote Code. Gleichzeitig wählen die mutmaßlich chinesischen Hacker ihre Ziele sorgfältiger aus und betreiben bessere Aufklärung. Zudem versuchen sie ebenfalls besser, ihre eigenen Tools zu verschleiern. Die Masche derzeit: Infizierte oder vertraute Regierungsstellen und Behörden werden als Sprungbrett benutzt, um weitere zu attackieren.

Anzeige

Infizierte Regierungsstellen als Sprungbrett

Seit 2021 hat Check Point Research die Aktivitäten von Sharp Dragon genau beobachtet. Ihre Taktik besteht in erster Linie aus gezielten Phishing-E-Mails, die in der Vergangenheit zur Verbreitung von Malware wie VictoryDLL oder dem Soul-Framework geführt haben. In den letzten Monaten war jedoch eine deutliche Veränderung zu beobachten. Sharp Dragon hat seinen Schwerpunkt auf Regierungsorganisationen in Afrika und der Karibik verlagert, was eine deutliche Ausweitung seiner Aktivitäten über den ursprünglichen Bereich hinaus zeigt. Diese Aktivitäten stehen im Einklang mit dem bewährten Modus Operandi von Sharp Dragon, der durch die Kompromittierung hochrangiger E-Mail-Konten gekennzeichnet ist, um Phishing-Dokumente zu verbreiten, die eine mit RoyalRoad erstellte Remote-Vorlage als Waffe nutzen. Im Gegensatz zu früheren Taktiken setzen diese Köder jetzt jedoch Cobalt Strike Beacon ein, was auf eine strategische Anpassung zur Verbesserung ihrer Infiltrationsfähigkeiten hinweist.

Taktik und Techniken von Sharp Dragon

Zunächst nutzen die Bedrohungsakteure maßgeschneiderte Phishing-E-Mails, die oft als legitime Korrespondenz getarnt sind, um die Opfer zu verleiten, verseuchteAnhänge zu öffnen oder auf betrügerische Links zu klicken. Diese Anhänge oder Links führen Programmcodeaus, dersich im Laufe der Zeit von benutzerdefinierter Malware wie VictoryDLL und dem Soul-Framework zu weit verbreiteten Tools wie Cobalt Strike Beacon entwickelt hat. Nach erfolgreicher Ausführung etabliert sich die Malware auf dem System des Opfers und ermöglicht es den Hackern, die IT-Umgebung des Ziels zu erkunden und Informationen zu sammeln. Während die Kernfunktionalität unverändert bleibt, hat CPR doch Änderungen in den Taktiken, Techniken und Verfahren (TTPs) festgestellt. Diese Änderungen spiegeln eine sorgfältigere Auswahl der Ziele und ein stärkeres Bewusstsein für die operative Sicherheit (OPSEC) wider. Einige Änderungen umfassen:

  • Breitere Aufklärungserfassung: Der 5.t-Downloader führt jetzt eine gründlichere Erkundung der Zielsysteme durch, einschließlich der Prüfung von Prozesslisten und der Aufzählung von Ordnern, was zu einer sorgfältigeren Auswahl potenzieller Opfer führt.
  • Cobalt Strike Nutzlast: Sharp Dragon ist von der Verwendung von VictoryDll und dem SoulSearcher-Framework zu Cobalt Strike Beacon als Nutzlast für den 5.t-Downloader übergegangen, der Backdoor-Funktionen bereitstellt und gleichzeitig die Exposition benutzerdefinierter Tools minimiert, was auf einen verfeinerten Ansatz zur Zielbewertung und Minimierung der Exposition hindeutet.
  • EXE-Loader: Jüngste Beobachtungen deuten auf eine bemerkenswerte Veränderung bei 5.t-Downloadern hin, wobei einige der neuesten Beispiele EXE-basierte Loader anstelle der typischen DLL-basierten Loader enthalten, was die dynamische Entwicklung ihrer Strategien verdeutlicht.
  • Kompromittierte Infrastruktur: Sharp Dragon geht von speziellen Servern dazu über, kompromittierte Server als Command-and-Control-(C&C)-Server zu nutzen, insbesondere unter Ausnutzung der Sicherheitslücke CVE-2023-0669, die eine Schwachstelle in der GoAnywhere-Plattform darstellt, welche eine Befehlsinjektion vor der Authentifizierung ermöglicht.
Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Oracle veröffentlicht im Januar 318 Sicherheitsupdates

Die Liste der 318 Sicherheitsupdates zeigt zwar nicht sofort die Risikobewertungen mit CVSS-Werten, aber ein Blick in die Beschreibungen zeigt ➡ Weiterlesen

Schwachstelle in Firewall von Fortinet

Ein Threat-Research-Team hat Anfang Dezember 2024 eine Kampagne mit verdächtigen Aktivitäten auf Fortinet FortiGate Firewall-Geräten beobachtet. Indem sie sich Zugang ➡ Weiterlesen

Ransomware & Co: Neue Malware-Machtverteilung 

Der aktuell ausgewertete Bedrohungsindex aus dem Dezember zeigt die Bedrohung durch FunkSec, eine Ransomware-Gruppe, die mit KI agiert. In Deutschland ➡ Weiterlesen

Trojaner Sliver-Implant zielt auf Unternehmen

Wie die Webseite Tarnkappe.info berichtet, zielt der Trojaner Sliver-Implant auf Unternehmen ab. In Windows Link-Dateien LNK versteckt sich Malware, die ➡ Weiterlesen

SAP Patches im Januar schließen kritische Lücken

SAP hat seine Januar-Liste mit Schwachstellen veröffentlicht, darunter zwei kritische mit dem CVSS-Wert 9.9 von 10, sowie drei hochgefährliche Lücken ➡ Weiterlesen

Hacker zielen verstärkt auf Bitcoin-Wallets

Kryptowährungen werden immer beliebter. Das ist auch Cyberkriminellen nicht entgangen. Seit ungefähr drei Jahren sind Crypto-Drainer im Umlauf, mit denen ➡ Weiterlesen

Cyberkriminelle nutzen Google Calendar für Angriffe

Kriminelle greifen mit Hilfe von Google Calendar Postfächer an. Dabei nutzen sie Benachrichtigungen und schmuggeln auf diese Weise Phishing-E-Mails an ➡ Weiterlesen

Moxa-Industrie-Switch mit kritischer 9.2 Schwachstelle

Der Anbieter von industriellen Switchen Moxa meldet in seinem Security-Advisory eine kritische Schwachstelle mit dem CVSS-Basis-Score 9.2 von 10. Per ➡ Weiterlesen