Die chinesische Hacker-Gruppe Sharp Dragon

B2B Cyber Security ShortNews

Beitrag teilen

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform warnt vor der chinesischen Spionage-Hacker-Gruppe Sharp Dragon, die früher als Sharp Panda aufgetreten ist.

Sie hat ihre Aktivitäten verfeinert und setzt mittlerweile auf 1-Day-Schwachstellen, nutzt das bewährte Cobalt Strike Beacon als Nutzlast – statt einer benutzerdefinierten Backdoor – und arbeitet mit verschiedenen Funktionen, wie C2-Kommunikation und Remote Code. Gleichzeitig wählen die mutmaßlich chinesischen Hacker ihre Ziele sorgfältiger aus und betreiben bessere Aufklärung. Zudem versuchen sie ebenfalls besser, ihre eigenen Tools zu verschleiern. Die Masche derzeit: Infizierte oder vertraute Regierungsstellen und Behörden werden als Sprungbrett benutzt, um weitere zu attackieren.

Anzeige

Infizierte Regierungsstellen als Sprungbrett

Seit 2021 hat Check Point Research die Aktivitäten von Sharp Dragon genau beobachtet. Ihre Taktik besteht in erster Linie aus gezielten Phishing-E-Mails, die in der Vergangenheit zur Verbreitung von Malware wie VictoryDLL oder dem Soul-Framework geführt haben. In den letzten Monaten war jedoch eine deutliche Veränderung zu beobachten. Sharp Dragon hat seinen Schwerpunkt auf Regierungsorganisationen in Afrika und der Karibik verlagert, was eine deutliche Ausweitung seiner Aktivitäten über den ursprünglichen Bereich hinaus zeigt. Diese Aktivitäten stehen im Einklang mit dem bewährten Modus Operandi von Sharp Dragon, der durch die Kompromittierung hochrangiger E-Mail-Konten gekennzeichnet ist, um Phishing-Dokumente zu verbreiten, die eine mit RoyalRoad erstellte Remote-Vorlage als Waffe nutzen. Im Gegensatz zu früheren Taktiken setzen diese Köder jetzt jedoch Cobalt Strike Beacon ein, was auf eine strategische Anpassung zur Verbesserung ihrer Infiltrationsfähigkeiten hinweist.

Taktik und Techniken von Sharp Dragon

Zunächst nutzen die Bedrohungsakteure maßgeschneiderte Phishing-E-Mails, die oft als legitime Korrespondenz getarnt sind, um die Opfer zu verleiten, verseuchteAnhänge zu öffnen oder auf betrügerische Links zu klicken. Diese Anhänge oder Links führen Programmcodeaus, dersich im Laufe der Zeit von benutzerdefinierter Malware wie VictoryDLL und dem Soul-Framework zu weit verbreiteten Tools wie Cobalt Strike Beacon entwickelt hat. Nach erfolgreicher Ausführung etabliert sich die Malware auf dem System des Opfers und ermöglicht es den Hackern, die IT-Umgebung des Ziels zu erkunden und Informationen zu sammeln. Während die Kernfunktionalität unverändert bleibt, hat CPR doch Änderungen in den Taktiken, Techniken und Verfahren (TTPs) festgestellt. Diese Änderungen spiegeln eine sorgfältigere Auswahl der Ziele und ein stärkeres Bewusstsein für die operative Sicherheit (OPSEC) wider. Einige Änderungen umfassen:

  • Breitere Aufklärungserfassung: Der 5.t-Downloader führt jetzt eine gründlichere Erkundung der Zielsysteme durch, einschließlich der Prüfung von Prozesslisten und der Aufzählung von Ordnern, was zu einer sorgfältigeren Auswahl potenzieller Opfer führt.
  • Cobalt Strike Nutzlast: Sharp Dragon ist von der Verwendung von VictoryDll und dem SoulSearcher-Framework zu Cobalt Strike Beacon als Nutzlast für den 5.t-Downloader übergegangen, der Backdoor-Funktionen bereitstellt und gleichzeitig die Exposition benutzerdefinierter Tools minimiert, was auf einen verfeinerten Ansatz zur Zielbewertung und Minimierung der Exposition hindeutet.
  • EXE-Loader: Jüngste Beobachtungen deuten auf eine bemerkenswerte Veränderung bei 5.t-Downloadern hin, wobei einige der neuesten Beispiele EXE-basierte Loader anstelle der typischen DLL-basierten Loader enthalten, was die dynamische Entwicklung ihrer Strategien verdeutlicht.
  • Kompromittierte Infrastruktur: Sharp Dragon geht von speziellen Servern dazu über, kompromittierte Server als Command-and-Control-(C&C)-Server zu nutzen, insbesondere unter Ausnutzung der Sicherheitslücke CVE-2023-0669, die eine Schwachstelle in der GoAnywhere-Plattform darstellt, welche eine Befehlsinjektion vor der Authentifizierung ermöglicht.
Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Sicherheitsrisiken durch Mitarbeiterverhalten

Eine neue Untersuchung zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viele ➡ Weiterlesen

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen