Avast (LSE: AVST), ein weltweit führender Hersteller von digitalen Sicherheits- und Datenschutzprodukten, hat heute eine Analyse eines APT-Angriffs auf zentralasiatische Unternehmen und Institutionen veröffentlicht, die Avast-Sicherheitsforscher in Zusammenarbeit mit Eset durchgeführt haben. Die Analysten haben Samples untersucht, die eine APT-Gruppe verwendet hat, um ein Telekommunikationsunternehmen, ein Gasunternehmen und eine Regierungseinrichtung in Zentralasien auszuspionieren.
Die Gruppe baute Hintertüren ein, um langfristig Zugang zu Unternehmensnetzwerken zu erhalten. Die Ergebnisse der Analyse legen nahe, dass die Gruppe auch hinter Angriffen in der Mongolei, Russland und Weißrussland steckte. Avast geht davon aus, dass die Gruppe aus China stammt, da sie den Trojaner Gh0st RAT nutzt, der in der Vergangenheit von chinesischen APT-Gruppen verwendet wurde. Zudem hat Avast im Code Ähnlichkeiten zu einer kürzlich analysierten Kampagne gefunden, die chinesischen Akteuren zugeschrieben wurde.
Die Backdoors geben den Akteuren die Möglichkeit, Dateien zu manipulieren und zu löschen, Screenshots zu machen, Prozesse und Dienste zu ändern sowie Konsolenbefehle auszuführen und die Hintertür selbst zu entfernen. Darüber hinaus sind einige Befehle in der Lage, die Backdoors anzuweisen, Daten auf einen Command & Control (C&C)-Server zu übertragen. Infizierte Geräte können von dem C&C-Server angewiesen werden, als Proxy zu fungieren oder an einem bestimmten Port an jeder Netzwerkschnittstelle zu lauschen. Die Gruppe nutzt auch Werkzeuge wie Gh0st RAT und Management Instrumentation, um sich lateral innerhalb der infiltrierten Netzwerke zu bewegen.
„Die Gruppe, die hinter dem Angriff steht, hat ihre maßgeschneiderten Tools, zu denen neben den Backdoors auch Mimikatz und Gh0st RAT gehören, häufig neu kompiliert, um von Antivirenprogrammen unerkannt zu bleiben. Dies hat zu einer großen Anzahl von Stichproben geführt, wobei die Binärdateien oft durch VMProtect geschützt sind, was die Analyse erschwert“, sagt Luigino Camastra, Malware-Forscher bei Avast. „Basierend auf unseren Erkenntnissen und da wir Teile dieser Aktivitäten mit Angriffen auf andere Länder in Verbindung bringen können, gehen wir davon aus, dass diese Gruppe künftig weitere Länder ins Visier nimmt.“
Avast hat die Ergebnisse an das lokale CERT-Team gemeldet und sich an das betroffene Telekommunikationsunternehmen gewendet, das tatsächlich angegriffen wurde.
Die vollständige Analyse finden Sie hier.