SÜDOSTASIEN / MÜNCHEN (IT BOLTWISE) – Eine chinesische Hackergruppe, bekannt als Billbug, hat ihre Spionageaktivitäten in Südostasien intensiviert und dabei ein neues Reverse-SSH-Tool eingesetzt, um hochrangige Ziele zu kompromittieren.
Die Hackergruppe Billbug, auch bekannt unter den Namen Lotus Blossom, Lotus Panda und Bronze Elgin, ist seit mindestens 2009 aktiv und hat sich auf Angriffe gegen Regierungs- und Militäreinrichtungen in Südostasien spezialisiert. Diese Gruppe stellt eine anhaltende Bedrohung für die nationale Sicherheitsinfrastruktur dar. Zwischen August 2024 und Februar 2025 orchestrierte Billbug eine koordinierte Angriffskampagne gegen mehrere Organisationen in einem südostasiatischen Land, darunter ein Regierungsministerium, eine Flugverkehrskontrollorganisation, ein Telekommunikationsunternehmen und ein Bauunternehmen.
Die Gruppe erweiterte ihren Einflussbereich, indem sie eine Nachrichtenagentur in einem anderen südostasiatischen Land und ein Luftfrachtunternehmen in einem Nachbarland ins Visier nahm. Dies zeigt eine strategische Erweiterung ihres operativen Umfangs. Forscher von Symantec identifizierten diese Kampagne als Fortsetzung von Aktivitäten, die erstmals im Dezember 2024 dokumentiert wurden.
Die Bedrohungsakteure setzten ein Arsenal an ausgeklügelten Werkzeugen ein, wobei das maßgeschneiderte Reverse-SSH-Tool (SHA256: 461f0803b67799da8548ebfd979053fb99cf110f40ac3fc073c3183e2f6e9ced) als besonders bemerkenswerte Ergänzung ihres Werkzeugkastens hervorsticht. Diese spezialisierte Malware ermöglicht einen dauerhaften Backdoor-Zugang, indem sie auf Port 22 auf SSH-Verbindungen lauscht und den Angreifern eine unauffällige Kontrolle über kompromittierte Systeme ermöglicht.
Die Kampagne stellt eine Weiterentwicklung der Taktiken, Techniken und Verfahren (TTPs) von Billbug dar und zeigt deren kontinuierliche Investition in die Entwicklung maßgeschneiderter Malware. Neben dem Reverse-SSH-Tool setzten die Angreifer auch Werkzeuge zur Diebstahl von Zugangsdaten ein, die speziell auf Chrome-Browser-Daten abzielen (ChromeKatz und CredentialKatz), und nutzten legitime Software, um der Erkennung zu entgehen.
Die hartnäckige und gezielte Natur dieser Angriffe deutet auf eine langfristige Spionageoperation mit spezifischen Zielen zur Informationsbeschaffung hin. Die Angreifer verwendeten ausgeklügelte DLL-Sideloading-Techniken, um initialen Zugriff und Persistenz auf den Zielsystemen zu etablieren. Diese Methode beinhaltet das Platzieren bösartiger DLL-Dateien neben legitimen ausführbaren Dateien vertrauenswürdiger Anbieter und nutzt die DLL-Suchreihenfolge von Windows aus, um bösartigen Code mit den Berechtigungen legitimer Software auszuführen.
In einem Fall nutzten die Angreifer eine legitime Trend Micro ausführbare Datei (tmdbglog.exe), um eine bösartige DLL (tmdglog.dll) zu laden. Die bösartige DLL funktionierte wie folgt: Sie las eine verschlüsselte Nutzlast von C:\Windows\temp\TmDebug.log, entschlüsselte diese und führte die entschlüsselte Nutzlast im Speicher aus. Der Fortschritt der Ausführung wurde in einer obskuren Datei protokolliert.
Ähnlich wurde eine Bitdefender ausführbare Datei (bds.exe) ausgenutzt, um eine weitere bösartige DLL (log.dll) zu laden, die Inhalte aus einer Datei namens “winnt.config” entschlüsselte und in den legitimen systray.exe-Prozess injizierte. Diese Techniken ermöglichten es den Angreifern, Persistenz zu etablieren, während sie traditionelle Sicherheitskontrollen umgingen, die sich auf ausführbare Dateien konzentrieren, anstatt auf DLLs.
Das Reverse-SSH-Tool stellt einen bedeutenden Fortschritt in den Fähigkeiten von Billbug dar, indem es einen unauffälligen Kanal für Kommando und Kontrolle bietet, während es als legitimer SSH-Verkehr auf Standardports getarnt wird. Dieser Ansatz macht die Erkennung besonders herausfordernd für traditionelle Netzwerküberwachungslösungen und stellt eine anhaltende Bedrohung für Organisationen in ganz Südostasien dar.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Innovations-Manager (d/w/m) mit Schwerpunkt generativer KI
Werkstudent Kommunikation & Content Creation mit KI (m/w/d)
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Software Developer AI (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Chinesische Hacker setzen neue Reverse-SSH-Tools ein, um Organisationen anzugreifen" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Chinesische Hacker setzen neue Reverse-SSH-Tools ein, um Organisationen anzugreifen" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Chinesische Hacker setzen neue Reverse-SSH-Tools ein, um Organisationen anzugreifen« bei Google Deutschland suchen, bei Bing oder Google News!