Chinesische Hackergruppe Weaver Ant infiltriert Telekommunikationsnetzwerk

MÜNCHEN (IT BOLTWISE) – Eine chinesische Hackergruppe namens Weaver Ant hat über vier Jahre hinweg ein Telekommunikationsnetzwerk infiltriert und dabei ausgeklügelte Techniken zur Verschleierung ihrer Aktivitäten eingesetzt.

Die chinesische Hackergruppe Weaver Ant hat über einen Zeitraum von mehr als vier Jahren ein Telekommunikationsnetzwerk infiltriert und dabei ausgeklügelte Techniken zur Verschleierung ihrer Aktivitäten eingesetzt. Die Gruppe nutzte kompromittierte Zyxel-Router, um ihren Datenverkehr zu verbergen und ihre Infrastruktur zu tarnen. Diese Vorgehensweise ermöglichte es ihnen, unbemerkt im Netzwerk zu operieren und sensible Informationen zu sammeln.

Im Verlauf der Untersuchung entdeckten Forscher mehrere Varianten des China Chopper Backdoors sowie eine bisher unbekannte benutzerdefinierte Web-Shell namens ‘INMemory’. Diese Web-Shell führt Nutzlasten direkt im Speicher des Hosts aus, was die Erkennung durch traditionelle Sicherheitsmaßnahmen erschwert. Weaver Ant zielte auf einen großen asiatischen Telekommunikationsanbieter ab und erwies sich als widerstandsfähig gegenüber mehreren Versuchen, die Gruppe aus dem Netzwerk zu entfernen.

Die Hacker nutzten ein Netzwerk aus Zyxel-Routern, um den Datenverkehr zu proxyen und ihre Infrastruktur zu verschleiern. Durch den Einsatz einer AES-verschlüsselten Variante der China Chopper Web-Shell konnten sie Server aus der Ferne steuern und dabei Firewall-Beschränkungen umgehen. Mit der Zeit entwickelte Weaver Ant eine fortschrittlichere Web-Shell, die eine DLL für eine unauffällige ‘Just-in-Time-Code-Ausführung’ nutzt.

Die Methoden zur Datenexfiltration waren darauf ausgelegt, möglichst wenig Aufmerksamkeit zu erregen. Dazu gehörte das passive Erfassen von Netzwerkverkehr über Port-Mirroring. Anstatt Web-Shells isoliert einzusetzen, verband Weaver Ant diese miteinander in einer Technik namens ‘Web-Shell-Tunneling’, die zuvor von der finanziell motivierten Hackergruppe ‘Elephant Beetle’ entwickelt wurde.

Diese Technik leitet den Datenverkehr von einem Server zum nächsten über verschiedene Netzwerksegmente und schafft so ein verdecktes Command-and-Control-Netzwerk innerhalb der Infrastruktur des Opfers. Jede Shell fungiert als Proxy und leitet verschachtelte und verschlüsselte Nutzlasten zur gestaffelten Ausführung tiefer im Netzwerk weiter.

Weaver Ant konnte auf Servern innerhalb verschiedener Netzwerksegmente operieren, die hauptsächlich interne Server ohne Internetverbindung waren. Diese wurden über Server erreicht, die über das Web zugänglich waren und als operative Gateways fungierten. Die Forscher von Sygnia stellten fest, dass Weaver Ant sich lateral über SMB-Shares und hochprivilegierte Konten bewegte, die seit Jahren dasselbe Passwort verwendeten und oft über NTLM-Hashes authentifiziert wurden.

Die über mehr als vier Jahre gesammelten Daten umfassen Konfigurationsdateien, Zugriffsprotokolle und Anmeldedaten, um die Umgebung zu kartieren und wertvolle Systeme zu identifizieren. Sie deaktivierten auch Protokollierungsmechanismen wie ETW-Patching und AMSI-Umgehungen, um einen kleineren Fußabdruck zu hinterlassen und länger unentdeckt zu bleiben.

Weaver Ant erweist sich als fähiger staatlich gesponserter Akteur, der in der Lage ist, langfristigen Zugang zu einem Opfernetzwerk für Cyber-Spionage-Operationen zu erlangen. Die Attribution basiert auf der Verwendung von Zyxel-Routermodellen, die in bestimmten geografischen Regionen beliebt sind, der Nutzung von Backdoors, die zuvor mit chinesischen Bedrohungsgruppen in Verbindung gebracht wurden, und der Aktivität von Weaver Ant während der Geschäftszeiten in der Zeitzone GMT +8.

Der Fokus der Gruppe liegt eher auf der Netzwerkintelligenz, dem Sammeln von Anmeldedaten und dem kontinuierlichen Zugang zur Telekommunikationsinfrastruktur als auf dem Diebstahl von Benutzerdaten oder Finanzunterlagen, was mit den Zielen staatlich gesponserter Spionage übereinstimmt. Um sich gegen diese fortschrittliche Bedrohung zu verteidigen, wird empfohlen, interne Netzwerkverkehrskontrollen anzuwenden, vollständige IIS- und PowerShell-Protokollierung zu aktivieren, das Prinzip der minimalen Berechtigung anzuwenden und Benutzeranmeldedaten regelmäßig zu ändern.

Die Wiederverwendung bekannter Web-Shells bietet Verteidigern die Möglichkeit, bösartige Aktivitäten frühzeitig mit statischen Erkennungstools und bekannten Signaturen zu erkennen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!