Der staatlich geförderten Cyberangriffsgruppe Billbug ist es gelungen, im Rahmen einer weitreichenden Spionagekampagne, die bis März zurückreicht, eine digitale Zertifizierungsstelle (CA) zu kompromittieren – eine besorgniserregende Entwicklung im Playbook der Advanced Persistent Threat (APT), warnen Forscher.
Digitale Zertifikate sind Dateien, die verwendet werden, um Software als gültig zu signieren und die Identität eines Geräts oder Benutzers zu überprüfen, um verschlüsselte Verbindungen zu ermöglichen. Daher könnte eine CA-Kompromittierung zu einer Legion heimlicher Folgeangriffe führen.
„Die Ausrichtung auf eine Zertifizierungsstelle ist bemerkenswert, denn wenn die Angreifer sie erfolgreich kompromittieren könnten, um auf Zertifikate zuzugreifen, könnten sie sie möglicherweise verwenden, um Malware mit einem gültigen Zertifikat zu signieren und ihr dabei zu helfen, die Erkennung auf den Computern der Opfer zu vermeiden“, heißt es ein Bericht diese Woche von Symantec. „Es könnte möglicherweise auch kompromittierte Zertifikate verwenden, um den HTTPS-Verkehr abzufangen.“
„Das ist potenziell sehr gefährlich“, stellten die Forscher fest.
Eine anhaltende Flut von Cyber-Kompromissen
Billbug (alias Lotus Blossom oder Thrip) ist eine in China ansässige Spionagegruppe, die es hauptsächlich auf Opfer in Südostasien abgesehen hat. Es ist bekannt für die Großwildjagd – dh die Verfolgung der Geheimnisse von Militärorganisationen, Regierungsbehörden und Kommunikationsanbietern. Manchmal wirft es ein breiteres Netz aus und deutet dunklere Motive an: In einem früheren Fall infiltrierte es einen Luft- und Raumfahrtbetreiber, um die Computer zu infizieren, die die Bewegungen von Satelliten überwachen und steuern.
In der jüngsten Reihe schändlicher Aktivitäten traf der APT ein Pantheon von Regierungs- und Verteidigungsbehörden in ganz Asien und in einem Fall infizierte er „eine große Anzahl von Maschinen“ in einem Regierungsnetzwerk mit seiner benutzerdefinierten Malware.
„Diese Kampagne lief mindestens von März 2022 bis September 2022, und es ist möglich, dass diese Aktivität andauert“, sagt Brigid O Gorman, Senior Intelligence Analyst beim Symantec Threat Hunter Team. „Billbug ist eine seit langem etablierte Bedrohungsgruppe, die im Laufe der Jahre mehrere Kampagnen durchgeführt hat. Es ist möglich, dass sich diese Aktivität auf weitere Organisationen oder Regionen ausweitet, obwohl Symantec derzeit keine Beweise dafür hat.“
Ein vertrauter Ansatz für Cyberangriffe
Sowohl bei diesen Zielen als auch bei der Zertifizierungsstelle war der anfängliche Zugriffsvektor die Nutzung anfälliger, öffentlich zugänglicher Anwendungen. Nachdem die Bedrohungsakteure die Fähigkeit erlangt haben, Code auszuführen, installieren sie ihre bekannten, benutzerdefinierten Hannotog- oder Sagerunex-Hintertüren, bevor sie sich tiefer in Netzwerke eingraben.
Für die späteren Kill-Chain-Phasen verwenden Billbug-Angreifer mehrere Living-Off-the-Land-Binärdateien (LoLBins), wie AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail und WinRAR, so der Bericht von Symantec.
Diese legitimen Tools können für verschiedene Doppelgängerzwecke missbraucht werden, z. B. zum Abfragen von Active Directory zum Abbilden eines Netzwerks, ZIP-Verpacken von Dateien zum Exfiltrieren, Aufdecken von Pfaden zwischen Endpunkten, Scannen von NetBIOS und Ports und Installieren von Browser-Root-Zertifikaten – ganz zu schweigen vom Herunterladen zusätzlicher Malware .
Die benutzerdefinierten Backdoors in Kombination mit Dual-Use-Tools sind ein vertrauter Fußabdruck, der in der Vergangenheit von der APT verwendet wurde. Aber die mangelnde Sorge um die öffentliche Bloßstellung ist es par für den Kurs für die Gruppe.
„Es ist bemerkenswert, dass sich Billbug anscheinend nicht von der Möglichkeit abschrecken lässt, dass ihm diese Aktivität zugeschrieben wird, indem er Tools wiederverwendet, die in der Vergangenheit mit der Gruppe in Verbindung gebracht wurden“, sagt Gorman.
Sie fügt hinzu: „Die starke Nutzung des Landlebens und der Dual-Use-Tools durch die Gruppe ist ebenfalls bemerkenswert und unterstreicht die Notwendigkeit für Unternehmen, über Sicherheitsprodukte zu verfügen, die Malware nicht nur erkennen können, sondern auch können Erkennen Sie auch, ob möglicherweise legitime Tools verwendet werden auf verdächtige oder böswillige Weise.“
Symantec hat die namentlich nicht genannte Zertifizierungsstelle benachrichtigt, um sie über die Aktivität zu informieren, aber Gorman lehnte es ab, weitere Einzelheiten zu seiner Reaktion oder seinen Abhilfebemühungen zu nennen.
Obwohl es bisher keinen Hinweis darauf gibt, dass die Gruppe in der Lage war, tatsächliche digitale Zertifikate zu kompromittieren, rät der Forscher: „Unternehmen sollten sich darüber im Klaren sein, dass Malware mit gültigen Zertifikaten signiert werden kann, wenn Angreifer Zugang zu Zertifizierungsstellen erlangen können.“
Im Allgemeinen sollten Unternehmen eine Defense-in-Depth-Strategie verfolgen und mehrere Erkennungs-, Schutz- und Härtungstechnologien einsetzen, um das Risiko an jedem Punkt einer potenziellen Angriffskette zu mindern, sagt sie.
„Symantec empfiehlt außerdem die Implementierung einer ordnungsgemäßen Prüfung und Kontrolle der administrativen Kontonutzung“, bemerkte Gorman. „Wir empfehlen außerdem, Nutzungsprofile für Verwaltungstools zu erstellen, da viele dieser Tools von Angreifern verwendet werden, um sich unentdeckt seitlich durch ein Netzwerk zu bewegen. Generell kann die Multifaktor-Authentifizierung (MFA) dazu beitragen, die Nützlichkeit kompromittierter Anmeldeinformationen einzuschränken.“
