Die chinesische Hacker-Gruppe Sharp Dragon

B2B Cyber Security ShortNews

Beitrag teilen

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform warnt vor der chinesischen Spionage-Hacker-Gruppe Sharp Dragon, die früher als Sharp Panda aufgetreten ist.

Sie hat ihre Aktivitäten verfeinert und setzt mittlerweile auf 1-Day-Schwachstellen, nutzt das bewährte Cobalt Strike Beacon als Nutzlast – statt einer benutzerdefinierten Backdoor – und arbeitet mit verschiedenen Funktionen, wie C2-Kommunikation und Remote Code. Gleichzeitig wählen die mutmaßlich chinesischen Hacker ihre Ziele sorgfältiger aus und betreiben bessere Aufklärung. Zudem versuchen sie ebenfalls besser, ihre eigenen Tools zu verschleiern. Die Masche derzeit: Infizierte oder vertraute Regierungsstellen und Behörden werden als Sprungbrett benutzt, um weitere zu attackieren.

Infizierte Regierungsstellen als Sprungbrett

Seit 2021 hat Check Point Research die Aktivitäten von Sharp Dragon genau beobachtet. Ihre Taktik besteht in erster Linie aus gezielten Phishing-E-Mails, die in der Vergangenheit zur Verbreitung von Malware wie VictoryDLL oder dem Soul-Framework geführt haben. In den letzten Monaten war jedoch eine deutliche Veränderung zu beobachten. Sharp Dragon hat seinen Schwerpunkt auf Regierungsorganisationen in Afrika und der Karibik verlagert, was eine deutliche Ausweitung seiner Aktivitäten über den ursprünglichen Bereich hinaus zeigt. Diese Aktivitäten stehen im Einklang mit dem bewährten Modus Operandi von Sharp Dragon, der durch die Kompromittierung hochrangiger E-Mail-Konten gekennzeichnet ist, um Phishing-Dokumente zu verbreiten, die eine mit RoyalRoad erstellte Remote-Vorlage als Waffe nutzen. Im Gegensatz zu früheren Taktiken setzen diese Köder jetzt jedoch Cobalt Strike Beacon ein, was auf eine strategische Anpassung zur Verbesserung ihrer Infiltrationsfähigkeiten hinweist.

Taktik und Techniken von Sharp Dragon

Zunächst nutzen die Bedrohungsakteure maßgeschneiderte Phishing-E-Mails, die oft als legitime Korrespondenz getarnt sind, um die Opfer zu verleiten, verseuchteAnhänge zu öffnen oder auf betrügerische Links zu klicken. Diese Anhänge oder Links führen Programmcodeaus, dersich im Laufe der Zeit von benutzerdefinierter Malware wie VictoryDLL und dem Soul-Framework zu weit verbreiteten Tools wie Cobalt Strike Beacon entwickelt hat. Nach erfolgreicher Ausführung etabliert sich die Malware auf dem System des Opfers und ermöglicht es den Hackern, die IT-Umgebung des Ziels zu erkunden und Informationen zu sammeln. Während die Kernfunktionalität unverändert bleibt, hat CPR doch Änderungen in den Taktiken, Techniken und Verfahren (TTPs) festgestellt. Diese Änderungen spiegeln eine sorgfältigere Auswahl der Ziele und ein stärkeres Bewusstsein für die operative Sicherheit (OPSEC) wider. Einige Änderungen umfassen:

  • Breitere Aufklärungserfassung: Der 5.t-Downloader führt jetzt eine gründlichere Erkundung der Zielsysteme durch, einschließlich der Prüfung von Prozesslisten und der Aufzählung von Ordnern, was zu einer sorgfältigeren Auswahl potenzieller Opfer führt.
  • Cobalt Strike Nutzlast: Sharp Dragon ist von der Verwendung von VictoryDll und dem SoulSearcher-Framework zu Cobalt Strike Beacon als Nutzlast für den 5.t-Downloader übergegangen, der Backdoor-Funktionen bereitstellt und gleichzeitig die Exposition benutzerdefinierter Tools minimiert, was auf einen verfeinerten Ansatz zur Zielbewertung und Minimierung der Exposition hindeutet.
  • EXE-Loader: Jüngste Beobachtungen deuten auf eine bemerkenswerte Veränderung bei 5.t-Downloadern hin, wobei einige der neuesten Beispiele EXE-basierte Loader anstelle der typischen DLL-basierten Loader enthalten, was die dynamische Entwicklung ihrer Strategien verdeutlicht.
  • Kompromittierte Infrastruktur: Sharp Dragon geht von speziellen Servern dazu über, kompromittierte Server als Command-and-Control-(C&C)-Server zu nutzen, insbesondere unter Ausnutzung der Sicherheitslücke CVE-2023-0669, die eine Schwachstelle in der GoAnywhere-Plattform darstellt, welche eine Befehlsinjektion vor der Authentifizierung ermöglicht.
Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Bitterfeld: Ransomware-Attacke kostete 2,5 Millionen Euro

Der Cyberangriff mit Ransomware auf den Landkreis Bitterfeld vor drei Jahren zeigt die unbequeme Wahrheit: es dauerte Jahre die IT ➡ Weiterlesen

Neue Ransomware-Variante Fog entdeckt

Über die Bedrohungsakteure der neuen Ransomware-Variante namens Fog ist noch nicht viel bekannt. Bisher sind nur US-Amerikanische Organisationen davon betroffen ➡ Weiterlesen

Europol: Fast 600 kriminelle Cobalt Strike-Server ausgeschaltet

Alte und unlizenzierte Versionen von Cobalt Strike, das eigentlich legitime Testtool von Pentestern und Red-Teams, sind in den Händen von ➡ Weiterlesen

Kinsing-Malware – Millionen Angriffe täglich

Seit 2019 ist Kinsing-Malware, die insbesondere Cloud-Native-Infrastrukturen angreift, ständig auf dem Vormarsch. Eine neue Studie stellt Angriffstechniken und -taktiken der ➡ Weiterlesen

Komplexe IT-Sicherheit: 450 Endgeräte – 3 IT-Mitarbeiter

Viele Unternehmen verwenden mehrere Sicherheitslösungen gleichzeitig. Das führt zu einer hohen Komplexität. Malwarebytes hat in einer internationalen Umfrage 50 Unternehmen ➡ Weiterlesen

Microsoft schickt Kunden Warnung per E-Mail die wie Spam aussieht

Nach der Attacke von Midnight Blizzard im Januar warnte nun Microsoft seine Kunden im Juni per Erklärungs-E-Mail. Dumm nur, dass ➡ Weiterlesen

Telegram: 361 Millionen Nutzerdaten geleakt

Cyberkriminelle haben Millionen von E-Mail-Adressen sowie Benutzernamen und Passwörter von Online-Konten in Kanälen des Messenger-Dienstes Telegram veröffentlicht, so der Betreiber ➡ Weiterlesen

EU ATM Malware greift Geldautomaten an

Geldautomaten sind ein beliebtes Angriffsziel für Cyberkriminelle. Die neue EU ATM Malware hat es auf europäische Bankomaten abgesehen. Kriminelle können ➡ Weiterlesen