MÜNCHEN (IT BOLTWISE) – Eine chinesische Hackergruppe namens Weaver Ant hat über vier Jahre hinweg ein Telekommunikationsnetzwerk infiltriert und dabei ausgeklügelte Techniken zur Verschleierung ihrer Aktivitäten eingesetzt.
Die chinesische Hackergruppe Weaver Ant hat über einen Zeitraum von mehr als vier Jahren ein Telekommunikationsnetzwerk infiltriert und dabei ausgeklügelte Techniken zur Verschleierung ihrer Aktivitäten eingesetzt. Die Gruppe nutzte kompromittierte Zyxel-Router, um ihren Datenverkehr zu verbergen und ihre Infrastruktur zu tarnen. Diese Vorgehensweise ermöglichte es ihnen, unbemerkt im Netzwerk zu operieren und sensible Informationen zu sammeln.
Im Verlauf der Untersuchung entdeckten Forscher mehrere Varianten des China Chopper Backdoors sowie eine bisher unbekannte benutzerdefinierte Web-Shell namens ‘INMemory’. Diese Web-Shell führt Nutzlasten direkt im Speicher des Hosts aus, was die Erkennung durch traditionelle Sicherheitsmaßnahmen erschwert. Weaver Ant zielte auf einen großen asiatischen Telekommunikationsanbieter ab und erwies sich als widerstandsfähig gegenüber mehreren Versuchen, die Gruppe aus dem Netzwerk zu entfernen.
Die Hacker nutzten ein Netzwerk aus Zyxel-Routern, um den Datenverkehr zu proxyen und ihre Infrastruktur zu verschleiern. Durch den Einsatz einer AES-verschlüsselten Variante der China Chopper Web-Shell konnten sie Server aus der Ferne steuern und dabei Firewall-Beschränkungen umgehen. Mit der Zeit entwickelte Weaver Ant eine fortschrittlichere Web-Shell, die eine DLL für eine unauffällige ‘Just-in-Time-Code-Ausführung’ nutzt.
Die Methoden zur Datenexfiltration waren darauf ausgelegt, möglichst wenig Aufmerksamkeit zu erregen. Dazu gehörte das passive Erfassen von Netzwerkverkehr über Port-Mirroring. Anstatt Web-Shells isoliert einzusetzen, verband Weaver Ant diese miteinander in einer Technik namens ‘Web-Shell-Tunneling’, die zuvor von der finanziell motivierten Hackergruppe ‘Elephant Beetle’ entwickelt wurde.
Diese Technik leitet den Datenverkehr von einem Server zum nächsten über verschiedene Netzwerksegmente und schafft so ein verdecktes Command-and-Control-Netzwerk innerhalb der Infrastruktur des Opfers. Jede Shell fungiert als Proxy und leitet verschachtelte und verschlüsselte Nutzlasten zur gestaffelten Ausführung tiefer im Netzwerk weiter.
Weaver Ant konnte auf Servern innerhalb verschiedener Netzwerksegmente operieren, die hauptsächlich interne Server ohne Internetverbindung waren. Diese wurden über Server erreicht, die über das Web zugänglich waren und als operative Gateways fungierten. Die Forscher von Sygnia stellten fest, dass Weaver Ant sich lateral über SMB-Shares und hochprivilegierte Konten bewegte, die seit Jahren dasselbe Passwort verwendeten und oft über NTLM-Hashes authentifiziert wurden.
Die über mehr als vier Jahre gesammelten Daten umfassen Konfigurationsdateien, Zugriffsprotokolle und Anmeldedaten, um die Umgebung zu kartieren und wertvolle Systeme zu identifizieren. Sie deaktivierten auch Protokollierungsmechanismen wie ETW-Patching und AMSI-Umgehungen, um einen kleineren Fußabdruck zu hinterlassen und länger unentdeckt zu bleiben.
Weaver Ant erweist sich als fähiger staatlich gesponserter Akteur, der in der Lage ist, langfristigen Zugang zu einem Opfernetzwerk für Cyber-Spionage-Operationen zu erlangen. Die Attribution basiert auf der Verwendung von Zyxel-Routermodellen, die in bestimmten geografischen Regionen beliebt sind, der Nutzung von Backdoors, die zuvor mit chinesischen Bedrohungsgruppen in Verbindung gebracht wurden, und der Aktivität von Weaver Ant während der Geschäftszeiten in der Zeitzone GMT +8.
Der Fokus der Gruppe liegt eher auf der Netzwerkintelligenz, dem Sammeln von Anmeldedaten und dem kontinuierlichen Zugang zur Telekommunikationsinfrastruktur als auf dem Diebstahl von Benutzerdaten oder Finanzunterlagen, was mit den Zielen staatlich gesponserter Spionage übereinstimmt. Um sich gegen diese fortschrittliche Bedrohung zu verteidigen, wird empfohlen, interne Netzwerkverkehrskontrollen anzuwenden, vollständige IIS- und PowerShell-Protokollierung zu aktivieren, das Prinzip der minimalen Berechtigung anzuwenden und Benutzeranmeldedaten regelmäßig zu ändern.
Die Wiederverwendung bekannter Web-Shells bietet Verteidigern die Möglichkeit, bösartige Aktivitäten frühzeitig mit statischen Erkennungstools und bekannten Signaturen zu erkennen.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Junior Produktmanager (m/w/d) Automatisierung & KI, Team InsurTech
Anwendungsberater KI m/w/d
Projektmanager / Product Owner Artificial Intelligence for Pricing (m/w/d)
(Junior) Produktmanager (m/w/d) InsurTech – Backoffice & KI
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Chinesische Hackergruppe Weaver Ant infiltriert Telekommunikationsnetzwerk" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Chinesische Hackergruppe Weaver Ant infiltriert Telekommunikationsnetzwerk" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »Chinesische Hackergruppe Weaver Ant infiltriert Telekommunikationsnetzwerk« bei Google Deutschland suchen und bei Google News recherchieren!