Skupina APT41, spojená s Čínou, byla připsána nové kampani zaměřené na vládní IT služby v africkém regionu. „Útočníci použili pevně zakódovaná jména interních služeb, IP adresy a proxy servery vložené do svého malwaru,“ uvedli výzkumníci z Kaspersky, Denis Kulik a Daniil Pogorelov. „Jeden z C2 [command-and-control serverů] byl captive SharePoint server v rámci infrastruktury oběti.“

APT41 je označení pro plodnou čínskou státní hackerskou skupinu, která je známá tím, že cílí na organizace v různých sektorech, včetně telekomunikací a energetických poskytovatelů, vzdělávacích institucí, zdravotnických organizací a IT energetických společností ve více než třech desítkách zemí.

Co dělá tuto kampaň pozoruhodnou, je její zaměření na Afriku, která, jak poznamenal ruský dodavatel kybernetické bezpečnosti, „zažila nejmenší aktivitu“ od tohoto konkrétního hrozebného aktéra. Tato zjištění se shodují s předchozími pozorováními od Trend Micro, že se kontinent od konce roku 2022 stal terčem útoků.

Kaspersky uvedl, že zahájil vyšetřování poté, co zjistil „podezřelou aktivitu“ na několika pracovních stanicích spojených s IT infrastrukturou nejmenované organizace, která zahrnovala útočníky spouštějící příkazy k ověření dostupnosti jejich C2 serveru, buď přímo, nebo prostřednictvím interního proxy serveru v rámci kompromitované entity.

„Zdroj podezřelé aktivity se ukázal být nemonitorovaný hostitel, který byl kompromitován,“ poznamenali výzkumníci. „Na něm byl spuštěn Impacket v kontextu servisního účtu. Poté, co moduly Atexec a WmiExec dokončily běh, útočníci dočasně pozastavili své operace.“

Brzy poté útočníci údajně získali přihlašovací údaje spojené s privilegovanými účty, aby usnadnili eskalaci privilegií a laterální pohyb, a nakonec nasadili Cobalt Strike pro C2 komunikaci pomocí DLL side-loading.

Škodlivé DLL obsahují kontrolu pro ověření jazykových balíčků nainstalovaných na hostiteli a pokračují v provádění pouze tehdy, pokud nejsou detekovány následující jazykové balíčky: japonština, korejština (Jižní Korea), čínština (pevninská Čína) a čínština (Tchaj-wan).

Útok je také charakterizován použitím hacknutého SharePoint serveru pro C2 účely, který je využíván k odesílání příkazů, jež jsou spuštěny malwarem založeným na C# nahraným na hostitele oběti. „Distribuovali soubory pojmenované agents.exe a agentx.exe prostřednictvím SMB protokolu pro komunikaci se serverem,“ vysvětlil Kaspersky. „Každý z těchto souborů je ve skutečnosti C# trojan, jehož primární funkcí je provádět příkazy, které přijímá z webové shellu nazvaného CommandHandler.aspx, který je nainstalován na SharePoint serveru.“

Tato metoda kombinuje tradiční nasazení malwaru s taktikou „living-off-the-land“, kde jsou důvěryhodné služby jako SharePoint přeměněny na skryté kontrolní kanály. Tyto chování se shodují s technikami kategorizovanými pod MITRE ATT&CK, včetně T1071.001 (Webové protokoly) a T1047 (WMI), což je činí obtížně detekovatelnými pomocí nástrojů založených na signaturách.

Dále byli hrozební aktéři spatřeni při provádění následných aktivit na strojích považovaných za cenné po počátečním průzkumu. To je dosaženo spuštěním příkazu cmd.exe ke stažení z externího zdroje škodlivého HTML aplikačního (HTA) souboru obsahujícího vložený JavaScript a jeho spuštění pomocí mshta.exe.

Přesná povaha nákladu doručeného prostřednictvím externí URL, domény napodobující GitHub („github.githubassets[.]net“), aby se vyhnula detekci, je v současné době neznámá. Nicméně analýza jednoho z dříve distribuovaných skriptů ukazuje, že je navržen k vytvoření reverzní shell, čímž útočníkům poskytuje schopnost provádět příkazy na infikovaném systému.

V útocích jsou také využívány krádeže a nástroje pro získávání přihlašovacích údajů k shromažďování citlivých dat a exfiltraci detailů prostřednictvím SharePoint serveru. Některé z nástrojů nasazených protivníkem jsou uvedeny níže:

– Pillager, i když v upravené verzi, k odcizení přihlašovacích údajů z prohlížečů, databází a administrativních nástrojů jako MobaXterm; zdrojový kód; snímky obrazovky; chatové relace a data; e-mailové zprávy; SSH a FTP relace; seznam nainstalovaných aplikací; výstup příkazů systeminfo a tasklist; a informace o účtu z chatovacích aplikací a e-mailových klientů
– Checkout k odcizení informací o stažených souborech a údajích o kreditních kartách uložených ve webových prohlížečích jako Yandex, Opera, OperaGX, Vivaldi, Google Chrome, Brave a Cốc Cốc.
– RawCopy k kopírování surových souborů registru
– Mimikatz k vytažení přihlašovacích údajů účtů

„Útočníci ovládají širokou škálu jak vlastnoručně vytvořených, tak veřejně dostupných nástrojů,“ uvedl Kaspersky. „Specificky používají nástroje pro penetrační testování jako Cobalt Strike v různých fázích útoku.“

„Útočníci se rychle přizpůsobují infrastruktuře svého cíle, aktualizují své škodlivé nástroje, aby zohlednili specifické charakteristiky. Mohou dokonce využívat interní služby pro C2 komunikaci a exfiltraci dat.“

Tato operace také zdůrazňuje rozmazanou hranici mezi nástroji pro red team a simulací skutečných protivníků, kde hrozební aktéři používají veřejné rámce jako Impacket, Mimikatz a Cobalt Strike vedle vlastních implantátů. Tyto překryvy představují výzvy pro detekční týmy zaměřené na laterální pohyb, přístup k přihlašovacím údajům a vyhýbání se obraně v prostředích Windows.

Zdroj: thehackernews.com