Die chinesische Hacker-Gruppe Sharp Dragon setzt ihre Trojaner gegen Regierungen in Afrika und der Karibik ein. | The Chinese hacker group Sharp Dragon is using its Trojans in Africa and the Caribbean. |
---|---|
Check Point Software Technologies Ltd. (NASDAQ: CHKP) hat die Aktivitäten der der chinesischen Hackergruppe Sharp Dragon in Afrika und der Karibik aufgedeckt, die früher als Sharp Panda auftrat. Sharp Dragon setzt Trojaner ein, um Behörden und Regierung auszuspionieren.
Die Sharp Dragon-Bedrohungsakteure zielen direkt auf Regierungsorganisationen in beiden Regionen ab, indem sie zuvor kompromittierte Einrichtungen in Südostasien ausnutzen. Mit maßgeschneiderten Ködern, die sich auf die Beziehungen zwischen den Ländern Südostasiens und den beiden Regionen beziehen, haben die Bedrohungsakteure von Sharp Dragon zum ersten Mal in zwei neuen Gebieten Fuß gefasst.
Die Sharp Dragon Hacker haben ihre Aktivitäten verfeinert und setzen mittlerweile auf 1-Day-Schwachstellen. Die Gruppe nutzt das bewährte Cobalt Strike Beacon als Nutzlast – statt einer benutzerdefinierten Backdoor – und arbeitet mit verschiedenen Funktionen, wie C2-Kommunikation und Remote Code.
Gleichzeitig wählen die mutmaßlich chinesischen Hacker ihre Ziele sorgfältiger aus und betreiben bessere Aufklärung. Zudem versuchen sie ebenfalls besser, ihre eigenen Tools zu verschleiern. Die Masche derzeit: Infizierte oder vertraute Regierungsstellen und Behörden werden als Sprungbrett benutzt, um weitere zu attackieren.
Seit 2021 hat Check Point Research (CPR) die Aktivitäten von Sharp Dragon genau beobachtet. Die Taktik besteht hauptsächlich aus gezielten Phishing-E-Mails, die in der Vergangenheit zur Verbreitung von Malware wie VictoryDLL oder dem Soul-Framework geführt haben. Diese Aktivitäten stehen im Einklang mit dem bewährten Modus Operandi von Sharp Dragon: Die Hacker kompromittieren hochrangige ist, um Phishing-Dokumente zu verbreiten, die ein mit RoyalRoad erstelltes Remote-Template als Waffe verwenden. Im Gegensatz zu früheren Taktiken verwenden diese Köder nun jedoch Cobalt Strike Beacon. Infektionskette Zunächst verwenden die Angreifer maßgeschneiderte Phishing-E-Mails, die oft als legitime Korrespondenz getarnt sind, um die Opfer dazu zu verleiten, infizierte Anhänge zu öffnen oder auf betrügerische Links zu klicken. Diese Anhänge oder Links führen Programmcode aus, der sich im Laufe der Zeit von benutzerdefinierter Malware wie VictoryDLL und dem Soul Framework zu weit verbreiteten Tools wie Cobalt Strike Beacon entwickelt hat. Nach erfolgreicher Ausführung installiert sich die Malware auf dem System des Opfers und ermöglicht es den Angreifern, die IT-Umgebung des Ziels zu erkunden und Informationen zu sammeln. Taktiken, Techniken und Verfahren Während die Kernfunktionalität unverändert bleibt, hat CPR Veränderungen bei den Taktiken, Techniken und Verfahren (TTPs) festgestellt. Diese Änderungen spiegeln eine sorgfältigere Zielauswahl und ein stärkeres Bewusstsein für operative Sicherheit (OPSEC) wider. Einige Änderungen umfassen: – Erweiterte Aufklärungserfassung: Der 5.t-Downloader führt nun eine gründlichere Aufklärung der Zielsysteme durch, einschließlich der Überprüfung von Prozesslisten und der Auflistung von Ordnern, was zu einer sorgfältigeren Auswahl potenzieller Opfer führt. – Cobalt Strike Nutzlast: Sharp Dragon ist von der Verwendung von VictoryDll und dem SoulSearcher Framework zu Cobalt Strike Beacon als Nutzlast für den 5.t-Downloader übergegangen. – EXE-Loader: Jüngste Beobachtungen deuten auf eine bemerkenswerte Veränderung bei 5.t-Downloadern hin, wobei einige der neuesten Beispiele EXE-basierte Loader anstelle der typischen DLL-basierten Loader enthalten, was die dynamische Entwicklung ihrer Strategien verdeutlicht. – Kompromittierte Infrastruktur: Sharp Dragon wechselt von dedizierten Servern zu kompromittierten Servern als Command-and-Control (C&C)-Server, insbesondere unter Ausnutzung der Sicherheitslücke CVE-2023-0669, die eine Schwachstelle in der GoAnywhere-Plattform darstellt, welche die Injektion von Befehlen vor der Authentifizierung ermöglicht. Die strategische Expansion von Sharp Dragon nach Afrika und in die Karibik ist ein Zeichen für die Bemühungen chinesischer Cyber-Akteure, ihre Präsenz und ihren Einfluss in diesen Regionen zu verstärken. Die Taktik von Sharp Dragon unterstreicht die dynamische Natur von Cyber-Bedrohungen, insbesondere in Regionen, die in der Vergangenheit übersehen wurden. „Angesichts dieser Bedrohungen ist der Umgang deutscher Unternehmen und staatlicher Organisationen mit China nach wie vor beunruhigend blauäugig. Trotz zunehmender Hinweise auf staatlich unterstützte Cyber-Angriffe wird das Risiko häufig unterschätzt, was die Verwundbarkeit gegenüber solchen Angriffen erhöht – zumal die Erfahrungen aus den oben genannten Aktivitäten in mögliche Angriffe auf Deutschland einfließen werden. Es bedarf eines stärkeren Bewusstseins und verbesserter Sicherheitsmaßnahmen – einschließlich des Einsatzes von Distributed Threat Intelligence – um solche Bedrohungen effektiv abwehren zu können“, erklärt Thomas Boele, Regional Director Sales Engineering CER/DACH bei Check Point Software Technologies. | Check Point Software Technologies Ltd (NASDAQ: CHKP) today announced that it has detected the activities of the Chinese hacker group Sharp Dragon, formerly known as Sharp Panda, in Africa and the Caribbean. Sharp Dragon uses Trojans to spy on government and government agencies. Sharp Dragon threat actors are directly targeting government organizations in both regions by exploiting previously compromised entities in Southeast Asia. Sharp Dragon threat actors have gained a foothold in two new regions for the first time, using tailored lures that target Southeast Asian countries‘ relationships with the two regions. Sharp Dragon hackers have refined their activities and now rely on 1-day vulnerabilities. The group is using the proven Cobalt Strike Beacon as a payload – instead of a custom backdoor – and is working with various functions such as C2 communication and remote code. At the same time, the suspected Chinese hackers are choosing their targets more carefully and doing better reconnaissance. They are also doing a better job of disguising their own tools. The current trick is to use infected or trusted government agencies and authorities as a springboard to attack others. Check Point Research (CPR) has been closely monitoring Sharp Dragon’s activities since 2021. Its tactics consist mainly of targeted phishing emails, which in the past have led to the spread of malware such as VictoryDLL or the Soul framework. These activities are consistent with Sharp Dragon’s proven modus operandi: the hackers compromise high-profile targets to distribute phishing documents that use a remote template created with RoyalRoad as a weapon. However, unlike previous tactics, these lures now use Cobalt Strike Beacon. Infection chain First, the attackers use customized phishing emails, often disguised as legitimate correspondence, to trick victims into opening infected attachments or clicking on fraudulent links. These attachments or links execute code that has evolved over time from custom malware such as VictoryDLL and the Soul Framework to widely used tools such as Cobalt Strike Beacon. Once successfully executed, the malware installs itself on the victim’s system, allowing the attackers to explore the target’s IT environment and gather information. Tactics, Techniques and Procedures While the core functionality remains the same, CPR has identified changes to the Tactics, Techniques and Procedures (TTPs). These changes reflect more careful target selection and an increased awareness of operational security (OPSEC). Some of the changes include – Enhanced reconnaissance collection: The 5.t downloader now performs a more thorough reconnaissance of target systems, including a process list review and folder listing, resulting in a more careful selection of potential victims. – Cobalt Strike payload: Sharp Dragon has switched from using VictoryDll and the SoulSearcher framework to Cobalt Strike Beacon as a payload for the 5.t downloader. – EXE loader: Recent observations indicate a notable change in 5.t downloaders, with some of the latest samples containing EXE-based loaders instead of the typical DLL-based loaders, highlighting the dynamic evolution of their strategies. – Compromised infrastructure: Sharp Dragon is moving from dedicated servers to compromised servers as command and control (C&C) servers, specifically exploiting CVE-2023-0669, a vulnerability in the GoAnywhere platform that allows command injection prior to authentication. Sharp Dragon’s strategic expansion into Africa and the Caribbean is indicative of Chinese cyber actors‘ efforts to increase their presence and influence in these regions. Sharp Dragon’s tactics underscore the dynamic nature of cyber threats, particularly in regions that have been overlooked in the past. „In the face of these threats, the approach of German companies and government organizations to China remains worryingly naive. Despite growing evidence of state-sponsored cyber-attacks, the risk is often underestimated, increasing vulnerability to such attacks – especially as the lessons learned from the above activities will feed into potential attacks on Germany. Greater awareness and improved security measures – including the use of distributed threat intelligence – are needed to effectively defend against such threats,“ said Thomas Boele, regional director sales engineering CER/DACH at Check Point Software Technologies. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de