Chinesische Hacker nutzen Reverse-SSH-Tool für Angriffe auf Organisationen

SÜDOSTASIEN / MÜNCHEN (IT BOLTWISE) – Eine neue Angriffswelle chinesischer Hacker, bekannt als Billbug oder Lotus Blossom, hat hochrangige Organisationen in Südostasien ins Visier genommen.

Die Hackergruppe Billbug, auch bekannt als Lotus Blossom, hat erneut zugeschlagen und dabei hochrangige Organisationen in Südostasien ins Visier genommen. Diese Gruppe, die bereits von Symantec und Cisco Talos dokumentiert wurde, setzt auf eine Kombination aus neuen, maßgeschneiderten Werkzeugen und innovativen Techniken wie dem DLL-Sideloading, um in die Netzwerke ihrer Opfer einzudringen und dort zu verweilen. Ein bemerkenswerter Bestandteil ihres Arsenals ist eine neue Variante des Sagerunex-Backdoors, die durch Manipulation von Registrierungseinstellungen als Dienst ausgeführt wird und so eine dauerhafte Präsenz ermöglicht. Diese Hintertür ist für ihre Flexibilität bekannt und erlaubt es Angreifern, Befehle auszuführen und Daten zu stehlen. Ein weiteres bedeutendes Werkzeug in ihrem Repertoire ist ein Reverse-SSH-Tool, das in der Lage ist, eine SSH-Verbindung über Port 22 zu öffnen und so einen Fernzugriff von internen Netzwerken ins Internet zu ermöglichen. Dieses Tool ist besonders nützlich, um die Kontrolle über kompromittierte Systeme unauffällig aufrechtzuerhalten. Die Hacker setzten zudem auf ChromeKatz und CredentialKatz, um Anmeldedaten aus dem Chrome-Browser zu ernten. Diese Werkzeuge, die in mehreren Varianten existieren, sind darauf ausgelegt, sowohl Anmeldedaten als auch Cookies zu extrahieren und so eine weitere Infiltration des Netzwerks zu erleichtern. Um Sicherheitsmaßnahmen zu umgehen, nutzt Billbug das DLL-Sideloading, eine Technik, bei der legitime Software verwendet wird, um bösartige DLLs zu laden. Ein Beispiel hierfür ist die Manipulation einer Trend Micro-Binärdatei namens tmdbglog.exe, um eine bösartige DLL namens tmdglog.dll zu sideloaden, die dann verschlüsselte Inhalte aus C:WindowstempTmDebug.log ausführt. Ebenso wurde eine Bitdefender-Binärdatei namens bds.exe ausgenutzt, um eine bösartige DLL namens log.dll zu laden, die versuchte, Code aus winnt.config auszuführen. Die Kampagne kompromittierte nicht nur ein Regierungsministerium, eine Luftverkehrskontrollorganisation, einen Telekommunikationsanbieter und ein Bauunternehmen in einem südostasiatischen Land, sondern führte auch Angriffe auf eine Nachrichtenagentur in einem anderen Land und eine Luftfrachtorganisation in einem Nachbarland durch. Diese Angriffe verdeutlichen die breiten strategischen Interessen der Gruppe, die auf Sektoren abzielen, die für die nationale Sicherheit und wirtschaftliche Stabilität von entscheidender Bedeutung sind. Für Organisationen, die sich gegen solche Einbrüche schützen wollen, sind regelmäßige Aktualisierungen der Sicherheitsprotokolle unerlässlich. Symantec hat ein Schutzbulletin veröffentlicht, das die neuesten Schutzmaßnahmen gegen diesen Bedrohungsakteur detailliert beschreibt. Darüber hinaus kann die Überwachung und Blockierung der Indikatoren für Kompromittierung (IOCs) helfen, potenzielle Angriffe zu identifizieren und zu vereiteln. Diese ausgeklügelte Kampagne unterstreicht die sich entwickelnden Cyber-Spionage-Fähigkeiten staatlich unterstützter Akteure und die anhaltende Bedrohung, die sie für Organisationen weltweit darstellen, was ein erhöhtes Maß an Wachsamkeit und robuste Cybersicherheitsmaßnahmen erforderlich macht.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!