Seit Anfang 2023 konnte das Cybersecurity- und Compliance-Unternehmen Proofpoint eine Zunahme von mutmaßlich chinesischen Cybercrime-Aktivitäten beobachten, bei denen Malware via E-Mail verbreitet wurde. Unter anderem wurde dabei der Sainbox Remote Access Trojaner (RAT) genutzt – eine Variante des Commodity-Trojaners Gh0stRAT. Auch die neu identifizierte ValleyRAT-Malware wurde im Rahmen der Aktivitäten verbreitet.
Die beobachteten Kampagnen hatten in der Regel einen geringen Umfang und adressierten zumeist weltweit tätige Unternehmen mit Niederlassungen in China. Die E-Mail-Betreffzeilen und -Inhalte wurden gemeinhin auf Chinesisch verfasst und standen im Zusammenhang mit Rechnungen, Zahlungen und neuen Produkten. Die Benutzer, auf die es die Täter abgesehen hatten, tragen meist chinesische Namen, die mit entsprechenden chinesischen Schriftzeichen geschrieben werden bzw. nutzten spezifische Unternehmens-E-Mail-Adressen, die mit den Geschäftsaktivitäten in China in Verbindung zu stehen scheinen. Die meisten Kampagnen zielten auf chinesischsprachige Nutzer ab. Dass die Cyberkriminellen auch japanische Unternehmen ins Fadenkreuz nehmen, deutet auf eine Ausweitung der Aktivitäten hin.
Bei den kürzlich identifizierten Aktivitäten ließen sich flexible Verbreitungsmethoden feststellen, bei denen sowohl einfache als auch mäßig komplexe Techniken genutzt wurden. Meist enthielten die E-Mails URLs, die auf komprimierte ausführbare Dateien verwiesen. Mittels dieser ausführbaren Dateien sollte die Malware installiert werden. Proofpoint hat jedoch auch beobachtet, dass Sainbox RAT und ValleyRAT über Excel- und PDF-Anhänge verbreitet werden, die wiederum URLs zu komprimierten ausführbaren Dateien enthalten.
Die Proofpoint-Experten sind davon überzeugt, dass es bei verschiedenen Kampagnen zur Verbreitung von Sainbox RAT und ValleyRAT Überschneidungen bei den Taktiken, Techniken und Verfahren (TTPs) gibt. Die Untersuchung weiterer Aktivitätscluster, bei denen diese Malware-Typen zum Einsatz kamen, deutet auf eine Vielfalt an Infrastrukturen, Absenderdomänen, E-Mail-Inhalten, Zielen und Payloads hin. Daher kommen die Experten zu dem Schluss, dass die Verwendung der Malware-Varianten und die damit verbundenen Kampagnen nicht auf ein und dasselbe Cluster zurückzuführen sind, sondern wahrscheinlich auf mehrere unterschiedliche Gruppen.
Dass nun vermehrt neue chinesische Malware auftaucht und gleichzeitig die Verbreitung älterer chinesischer Malware-Varianten zunimmt, spricht für einen neuen Trend in der Bedrohungslandschaft. Die Mischung aus historischer Malware wie Sainbox – einer Variante der älteren Gh0stRAT-Malware – und neu entdeckter Typen wie ValleyRAT könnte die russische Dominanz im Cybercrime-Umfeld brechen. Chinesische Malware zielt derzeit jedoch hauptsächlich auf Benutzer ab, die Chinesisch sprechen.
Die nun durchgeführte Analyse von Proofpoint liefert Security-Verantwortlichen mehrere Indikatoren, um Kompromittierungen zu erkennen und neue Bedrohungen zu identifizieren.
Gh0stRAT / Sainbox
Den Proofpoint-Experten war es möglich, die zunehmende Verbreitung einer Gh0stRAT-Variante zu beobachten. Diese wird von Proofpoint als Sainbox bezeichnet. Sainbox wurde von Proofpoint erstmals im Jahr 2020 identifiziert und wird von anderen Security-Forschern zuweilen als FatalRAT bezeichnet. Seit April 2023 hat Proofpoint fast 20 Kampagnen identifiziert, bei denen Sainbox verwendet wurde, nachdem sie zuvor jahrelang völlig aus der E-Mail-Bedrohungslandschaft verschwunden war.
Bei Gh0stRAT handelt es sich um einen Remote Access Trojaner, der erstmals im Jahr 2008 beobachtet wurde. Der Builder für diesen RAT ist online verfügbar und auch der Quellcode ist öffentlich zugänglich. Im Laufe der Jahre wurde Gh0stRAT von mehreren Autoren und Cybercrime-Gruppen in verschiedenen Varianten verändert. Dazu zählen auch abgezweigte Varianten wie Sainbox. 2023 hat Proofpoint auch eine Handvoll chinesischsprachiger Kampagnen beobachten können, bei denen ältere Gh0stRAT-Varianten verbreitet wurden.
Fast alle beobachteten Sainbox-Kampagnen nutzten als Köder das Thema Rechnungen. Die E-Mails wurden in der Regel von Outlook- bzw. Freemail-E-Mail-Adressen verschickt und enthielten URLs oder Excel-Anhänge mit URLs, die auf eine gezippte ausführbare Datei verwiesen, mit deren Hilfe Sainbox installiert werden sollte.
Am 17. Mai 2023 beobachtete Proofpoint zum Beispiel eine Kampagne, die auf Dutzende von Unternehmen abzielte, von denen die meisten im Fertigungs- und Technologiebereich tätig waren.
Bild 1: Beispiel einer E-Mail zur Verbreitung von Sainbox (vom 17. Mai 2023).
Die meisten Sainbox-RAT-Kampagnen fanden zwischen Dezember 2022 und Mai 2023 statt. Eine retrospektive Analyse der Kampagnen deckte auch eine weitere Kampagne in den Proofpoint-Daten auf, die im April 2022 ähnliche TTPs verwendete. Aktuell kann Proofpoint weitere Kampagnen feststellen, die mit diesem Aktivitätscluster in Verbindung stehen.
Purple Fox-Malware
Die Malware-Komponente Purple Fox ist seit mindestens 2018 verfügbar. Sie wird über verschiedene Wege verbreitet, in der Vergangenheit auch über das Purple Fox Exploit Kit. In den letzten Jahren wurden auch Beispiele für die Verbreitung von Purple Fox-Malware bekannt, bei denen sich diese als legitimes Anwendungsinstallationsprogramm tarnte.
Proofpoint hat mindestens drei Kampagnen identifiziert, bei denen Purple Fox verbreitet wurde. Eine der beobachteten Kampagnen verwendete das Thema Rechnungen, um auf Japanisch Organisationen in Japan zu attackieren. Dabei wurden gezippte LNK-Anhänge versendet, die zur Installation von Purple Fox dienen sollten, während andere Kampagnen das Thema Rechnungen auf Chinesisch Rechnungsthemen mit URLs verwendeten, die zu Purple Fox führten.
Proofpoint kann derzeit nicht alle chinesischen Malware-Kampagnen derselben Cybercrime-Gruppe zuordnen, aber einige Aktivitätscluster überschneiden sich. Dies deutet darauf hin, dass manche Gruppen dieselbe Infrastruktur nutzen, um mehrere Malware-Familien zu verbreiten.
ValleyRAT
Darüber hinaus hat Proofpoint im März 2023 eine neue Malware identifiziert, die von den Sicherheitsforschern ValleyRAT getauft wurde. Die Kampagnen, bei denen diese Malware verbreitetet wurde, liefen auf Chinesisch ab. Dem Trend anderer chinesischer Malware-Kampagnen folgend, griffen die Täter auch hier auf das Thema Rechnungen zurück, die sich auf verschiedene chinesische Unternehmen bezogen. Im laufenden Jahr hat Proofpoint mindestens sechs Kampagnen beobachtet, die ValleyRAT-Malware verbreiteten.
Die erste Kampagne konnten die Experten am 21. März 2023 beobachten. Die dabei versendeten E-Mails enthielten eine URL, die zu einer gezippten ausführbaren Datei führte, mit der die ValleyRAT-Payload heruntergeladen werden sollte. Darauffolgende Kampagnen griffen auf TTPs zurück, einschließlich der Verwendung von Freemail-Anbietern wie Outlook, Hotmail und WeCom. Damit sollten URLs verbreitet werden, die zur Installation von ValleyRAT führten. In mindestens einer Kampagne wurde der RAT jedoch mittels einem auf der Programmiersprache Rust basierenden Loader verbreitet, der derzeit noch näher untersucht wird. Der Loader lud zusätzlich ein legitimes Tool, EasyConnect, sowie eine trojanisierte DLL herunter, die das Tool über die DLL-Suchreihenfolge (DLL Search Order) lud und ausführte (High Jacking). EasyConnect ist eine SSL-VPN-Anwendung, die den Fernzugriff und die Verwaltung von Windows-Hosts ermöglicht. Nachfolgende Kampagnen im Juni 2023 griffen ebenso auf diese TTPs zurück.
Die chinesische Cybersicherheitsfirma Qi An Xin hatte sich Anfang des Jahres als erster öffentlich zu ValleyRAT geäußert.
Während die meisten Kampagnen Rechnungsthemen als Köder verwendeten, konnte Proofpoint einen „Ausreißer“ beobachten. Am 24. Mai 2023 wurden PDFs mit Lebensläufen versendet, die URLs enthielten, mit denen eine gezippte Payload heruntergeladen werden sollte, um auf diese Weise ValleyRAT zu installieren.
Bild 2: PDF-Köder zur Verbreitung von ValleyRAT.
Die Analyse des neu entdeckten ValleyRAT deutet darauf hin, dass möglicherweise eine Gruppe sowohl hinter den neuen Malware-Kampagnen als auch hinter dem Wiederauftauchen der älteren Malware-Varianten Purple Fox und Sainbox steckt.
Weitere Informationen:
Den vollständigen Blog von Proofpoint zu diesem Thema finden Sie hier.
www.proofpoint.com