Thought Leadership
Das Threat Research Team von Proofpoint hat eine Cyberspionage-Kampagne entdeckt, die sich gegen Einrichtungen auf der ganzen Welt richtet und von eine Gruppe Cyberkrimineller durchgeführt wurde, die 2021 von mehreren Regierungen angeklagt wurde und im Mittelpunkt einer Anklage des US-Justizministeriums aus dem Jahr 2021 stand.
Die Ziele dieser jüngsten Kampagne beinhalten Australien, Malaysia und Europa sowie Unternehmen, die im Südchinesischen Meer tätig sind. Die Untersuchungen von Proofpoint wurden vom PwC Threat Intelligence Team unterstützt, um ein möglichst umfassendes Bild zu erhalten.
Einleitung
Proofpoint und PwC Threat Intelligence haben gemeinsam eine Cyberspionage-Kampagne von April bis Juni 2022 beobachtet, die das ScanBox-Exploit-Framework als Malware unter Besuchern einer bösartige Domain verbreitete, die sich als australische Nachrichten-Website ausgab. Die gemeinsamen Bemühungen der Forscher von Proofpoint und PwC führen zu der Einschätzung, dass auch jüngste Kampagnen, die auf Regierungen, den Energiesektor und das produzierende Gewerbe weltweit abzielen, auf die Cyberkriminellengruppe TA423 / Red Ladon zurückzuführen sind. Aktivitäten, die sich mit denen dieser Gruppe überschneiden, wurden in den oben erwähnten Anklageschriften Gruppen mit den Namen „APT40“ und „Leviathan“ zugeordnet. Im Folgenden werden die Struktur und die Fähigkeiten des ScanBox-Frameworks und der in dieser Kampagne identifizierten Plugins analysiert. Außerdem werden diese Kampagne und die beobachtete Zielgruppe mit früheren Kampagnen von TA423 / Red Ladon in Beziehung gesetzt.
Der Überblick:
- Jüngste, gezielte Phishing-Kampagnen, die URLs verwenden, die sich als australische Medienunternehmen ausgeben und das ScanBox-Reconnaissance-Framework nutzen
- Wie das ScanBox-Skript und die zugehörigen Module funktionieren
- Wie die aktuelle Kampagne mit Aktivitäten aus dem Juni 2021 zusammenhängt, die RTF Template Injection nutzten (eine Technik, bei der eine RTF-Datei so manipuliert wird, dass beim Öffnen Inhalte von einer externen URL abgerufen werden)
- Die Geschichte des ScanBox-Frameworks
- Die Ausrichtung von TA423/Red Ladon auf inländische australische Organisationen sowie auf Einrichtungen, die an der Offshore-Energieexploration im Südchinesischen Meer beteiligt sind
TA423 / Red Ladon
TA423 / Red Ladon ist eine in China ansässige, hauptsächlich mit Spionage befasste Gruppe, die seit 2013 aktiv ist und als Reaktion auf politische Ereignisse in der asiatisch-pazifischen Region mit Schwerpunkt auf dem Südchinesischen Meer eine Vielzahl von Organisationen ins Visier nimmt. Zu den Zielgruppen gehören Rüstungsunternehmen, produzierendes Gewerbe, Universitäten, Regierungsbehörden, in diplomatische Streitigkeiten verwickelte Anwaltskanzleien und ausländische Unternehmen, die mit der Politik Australasiens oder Operationen im Südchinesischen Meer zu tun haben.
Australische Regierung und Windparks im Südchinesischen Meer sind Ziele
Zwischen 12. April 2022 und Mitte Juni 2022 identifizierte Proofpoint mehrere Wellen einer Phishing-Kampagne, die zur Ausführung des ScanBox-Ausspähungs-Frameworks führten. Dies war zum Teil auf der Grundlage von Informationen möglich, die von PwC Threat Intelligence über laufende ScanBox-Aktivitäten weitergegeben wurden. Die Phishing-Kampagne beinhaltete URLs in Phishing-E-Mails, die die Opfer auf eine bösartige Website umleiteten, die sich als australisches Nachrichtenmedium ausgab. Die Landing Page der Website infizierte ausgewählte Ziele mit einer JavaScript-ScanBox-Malware. In der Vergangenheit wurde ScanBox über Websites verbreitet, die Opfer von SWC-Angriffen (Strategic Web Compromise) waren, bei denen legitime Websites mit bösartigem JavaScript-Code infiziert wurden. In diesem Fall nutzte die Gruppe eine selbst aufgesetzte bösartige Website, um Systeme ahnungsloser Nutzer mit bösartigem Code zu infizieren.
Über ScanBox
ScanBox, das bereits 2014 von AlienVault als Open Source untersucht wurde, ist ein JavaScript-basiertes Framework, um Informationen zu sammeln und diese für kriminelle Zwecke zu nutzen. Es ermöglicht Cyberkriminellen, Profile von Opfern zu erstellen und weitere Malware an ausgewählte Ziele zu liefern. Nach Einschätzung von PwC Threat Intelligence ist es sehr wahrscheinlich, dass ScanBox von mehreren in China ansässigen Gruppen gemeinsam genutzt wird.
ScanBox kann JavaScript-Code in einem einzigen Block oder, wie in der Kampagne vom April 2022, in Form einer Plugin-basierten, modularen Architektur bereitstellen. Die Bereitstellung des gesamten Codes auf einmal bietet den Cyberkriminellen die volle Funktionalität auf dem System eines Opfers. Die PwC-Analysten gehen davon aus, dass die Hauptmotivation für das selektive Laden von Plugins darin besteht, Abstürze oder Fehler zu vermeiden, die die Besitzer der kompromittierten Websites alarmieren könnten. PwC geht davon aus, dass eine weitere wahrscheinliche Motivation für die Einführung einer modularen Architektur darin bestand, die Erkennbarkeit und den Zugriff von Security-Experten auf die Plugins und das Toolset der Cyberkriminellen zu verringern.
U.a. die folgenden Gruppen Cyberkrimineller aus China nutzen ScanBox:
- Red Sylvan (auch bekannt als APT3, Gothic Panda)
- Red Apollo (auch bekannt als APT10, Stone Panda)
- Red Phoenix (auch bekannt als APT27, Emissary Panda)
- TA423 / Red Ladon (auch bekannt als APT40, Leviathan, GADOLINIUM)
- Red Dev 16 (auch bekannt als. Evil Eye, Earth Empusa, Poison Carp)
- TA413 / White Dev 9 (auch bekannt als LuckyCat)
Die ScanBox-Aktivitäten von TA423 / Red Ladon im Jahr 2018 in Kambodscha umfassten Domains, die als Nachrichten-Websites getarnt waren, und zielten auf hochrangige Regierungsstellen, darunter die Nationale Wahlkommission. Eine der bei dieser Kampagne verwendeten ScanBox-Server-Domains, mlcdailynews[.]com, enthielt mehrere Artikel über interne kambodschanische Angelegenheiten und die Beziehungen zwischen den USA und Ostasien, deren Inhalte aus seriösen Publikationen (Khmer Post, Asia Times, Reuters, Associated Press) kopiert wurden. Diese wurden wahrscheinlich als Köder in Phishing-E-Mails verwendet, um die Zielpersonen davon zu überzeugen, bösartigen Links zu der von TA423 / Red Ladon kontrollierten ScanBox-Domain zu folgen.
Die ScanBox-Kampagne 2022
Die ScanBox-Kampagne von April 2022 bis Juni 2022 richtete sich in erster Linie auf:
- Lokale und föderale australische Behörden
- Australische Nachrichtenmedien
- Globale Unternehmen, die Windparks im Südchinesischen Meer warten
Die Phishing-Kampagnen, die ScanBox nutzten und von April bis Juni 2022 beobachtet wurden, stammten von Gmail- und Outlook-E-Mail-Adressen, die nach Einschätzung von Proofpoint von TA423 / Red Ladon erstellt wurden, und verwendeten eine Vielzahl von Betreff-Themen wie „Krankschreibung“, „Leserbefragung“ oder „Bitte um Mitarbeit“. Die Cyberkriminellen gaben sich häufig als Mitarbeiter der fiktiven Medienpublikation „Australian Morning News“ aus, gaben eine URL zu einer bösartigen Domain an und forderten die Zielpersonen auf, die Website zu besuchen oder Forschungsinhalte zu teilen, die die Website veröffentlichen würde. Nach dem Anklicken des Links und der Weiterleitung auf die Website wurden die Systeme von Besuchern über das ScanBox-Framework infiziert.
In den E-Mails gaben die Kriminellen vor, eine „bescheidene Nachrichten-Website“ zu starten, und baten um Benutzer-Feedback. Dabei nutzten sie einen Link zu australianmorningnews[.]com. Dieser Link gibt sich zwar nicht als eine bestehende australische Publikation aus, kopiert jedoch Inhalte von legitimen Nachrichtenpublikationen (einschließlich BBC und Sky News), die dann angezeigt wurden, wenn die Opfer die Website aufsuchten. Nach dem Anklicken des Links und der Weiterleitung auf die Website wurden System von Besucher über das ScanBox-Framework infiziert.
Das anfängliche Skript sammelt verschiedene Arten von Informationen von den Besuchern und dient als Grundlage für die folgenden Phasen der Informationssammlung und die mögliche anschließende Ausnutzung oder Kompromittierung. Die Analyse von PwC ergab, dass das anfängliche ScanBox-JavaScript, das in den Browsern der Opfer ausgeführt wird, unter anderem folgende Funktionen hat:
- Abfrage der aktuellen Uhrzeit
- Abfrage der Sprache des Browsers
- Abfrage der Haupt- und Nebenversion von Adobe Flash, die auf dem Browser des Opfers installiert sind, falls vorhanden
- Prüfen, ob es sich bei dem Browser des Opfers um Safari oder Internet Explorer handelt
- Prüfen, ob C2 aktiv ist und antwortet
- Standort (d.h. die besuchte URL)
- Die URL, von der das Opfer umgeleitet wurde;
- Titel der besuchten Webseite;
- Die besuchte Domain;
- Referrer
- Benutzer-Agent
- Cookie
- Zeichenkodierung
- Breite und Höhe des Bildschirms
- Betriebssystem
- Sprache
- Farbtiefe des Bildschirms
- Laden weiterer ScanBox-Plugins und Kommunikation der Antworten im JSON-Format (JavaScript Object Notation)
Kampagnen mit RTF Template Injection
Ab März 2021 beobachtete Proofpoint ein konsistentes Muster von Angriffen auf Unternehmen mit Sitz in Malaysia und Australien sowie auf Unternehmen, die am Betrieb und der Lieferkette von Offshore-Energieprojekten im Südchinesischen Meer beteiligt sind. Von Juni 2021 bis Mai 2022 beobachtete Proofpoint eine Phishing-Kampagne mit bösartigen RTF-Anhängen, die Template-Injection nutzten. Außerdem wurden bei dieser Kampagne bösartige URLs verwendet, die die Systeme über RTF-Template-Injection-Dateien infizierten.
Diese Kampagne zielte regelmäßig auf militärische Ausbildungseinrichtungen sowie kommunale und staatliche Behörden, Verteidigungs- und Gesundheitsunternehmen in Australien. Zu den malaysischen Zielen gehörten Unternehmen, die Offshore-Bohrungen und Tiefsee-Energieexploration betreiben, sowie globale Marketing- und Finanzunternehmen. Es gerieten auch mehrere globale Unternehmen ins Visier, die offenbar mit den globalen Lieferketten von Offshore-Energieprojekten im Südchinesischen Meer in Verbindung stehen. Dazu gehören:
- Schwerindustrie und Hersteller, die für die Wartung von Offshore-Windparks zuständig sind
- Hersteller von Komponenten, die in Offshore-Windparks verwendet werden
- Exporteure von Energie aus bedeutenden Energieexplorationsstandorten im Südchinesischen Meer
- Große Beratungsunternehmen, die Fachwissen für Projekte im Südchinesischen Meer bereitstellen
- Globale Bauunternehmen, die für die Installation von Offshore-Energieprojekten im Südchinesischen Meer verantwortlich sind
Proofpoint geht davon aus, dass die Kampagnen von TA423 durchgeführt wurden, die PwC als „Red Ladon“ bezeichnet und die Überschneidungen mit „Leviathan“, „GADOLINIUM“ und „APT40“ aufweist.
Fallbeispiel: Auswirkungen auf Europa
Am 24., 28. und 29. März 2022 beobachtete Proofpoint Phishing-Aktivitäten, die RTF Template Injection nutzen und auf einen europäischen Hersteller von schwerem Gerät abzielten, das für die Installation Yunlin Offshore-Windparks in der Straße von Taiwan verwendet wird. Dieses Projekt wurde im Jahr 2020 begonnen und sollte 2022 abgeschlossen werden. Bei dem Projekt kam es jedoch zu Verzögerungen beim Bau, die dazu führten, dass mehrere große Auftragnehmer ihre Verträge kündigten und das Projekt zwischen November 2021 und Februar 2022 nicht fertiggestellt wurde. Dieses Offshore-Energieprojekt wurde Ende April 2022 wieder aufgenommen.
Die Phishing-Aktivitäten fielen in den Zeitraum zwischen dem 2. Februar 2022 und dem 28. April 2022, als die Zukunft des Projekts ungewiss war. Es ist bemerkenswert, dass TA423 in dieser Zeit der Ungewissheit auf Unternehmen in der Lieferkette abzielte, denn die Gruppe hat bereits früher Projekte im Südchinesischen Meer zu wichtigen Zeitpunkten ihrer Entwicklung ins Visier genommen.
Resümee
In diesem Text wurden mehrere Phasen einer laufenden Phishing-Kampagne erläutert, die seit über einem Jahr läuft und von Analysten von Proofpoint und PwC auf TA423 / Red Ladon zurückgeführt wird. Die Kampagne hat eine internationale Reichweite, konzentriert sich aber stark auf den asiatisch-pazifischen Raum, australische Regierungsstellen sowie Unternehmen und Länder, die im Südchinesischen Meer tätig sind. Proofpoint hat insbesondere beobachtet, dass TA423 / Red Ladon sich auf Unternehmen richtet, die direkt in Entwicklungsprojekte im Südchinesischen Meer involviert sind. Dies geschieht genau zu dem Zeitpunkt, an dem es zu Spannungen zwischen China und anderen Ländern im Zusammenhang mit Entwicklungsprojekten von hoher strategischer Bedeutung kommt, wie einen Offshore-Windpark in der Straße von Taiwan.
Proofpoint konnte keine deutliche Beeinträchtigung der Phishing-Aktivitäten von TA423/Red Ladon nach der Anklageschrift des US-Justizministeriums und der öffentlichen Bekanntmachung im Juli 2021 beobachten. Die Anklageschrift ordnet diese Cyberkriminellen einer bestimmten Entität zu, die mit Unterstützung eines chinesischen Geheimdienstes operiert. Die derzeit zu beobachtenden Aktivitäten der Gruppe stimmen jedoch nicht mit den technischen Details aus der Anklageschrift überein. Infolgedessen konnte die Gruppe weiterhin neuartige Phishing-Techniken wie RTF Template Injection einsetzen, die Anfang 2021 (vor der Anklageerhebung) begannen und bis März 2022 andauerten.
Insgesamt gehen Proofpoint und PwC davon aus, dass TA423 / Red Ladon seine Nachrichtendienst- und Spionagetätigkeit fortsetzen wird, die sich in erster Linie gegen Länder im Südchinesischen Meer richtet, sowie weitere Beteiligte in Australien, Europa und den Vereinigten Staaten.
www.proofpoint.com/de
