Check Point beobachtet Spionage chinesischer Herkunft gegen südostasiatische Regierungsstellen. 2021 veröffentlichte Check Point Research einen Bericht über ein bisher nicht bekannt gegebenes Toolset, das von Sharp Panda verwendet wird, einer seit langem laufenden chinesischen Spionage-Operation, die auf südostasiatische Regierungsstellen abzielt.

Seitdem wurde die Verwendung dieser Tools bei mehreren Operationen in mehreren südostasiatischen Ländern verfolgt, insbesondere in Ländern mit ähnlichen territorialen Ansprüchen oder strategischen Infrastrukturprojekten wie Vietnam, Thailand und Indonesien.

Die Angreifer benutzten Spear-Phishing-E-Mails, um sich Zugang zu den Zielnetzwerken zu verschaffen. Diese E-Mails enthielten in der Regel ein Word-Dokument mit regierungsspezifischen Lockmitteln, die eine Remote-Vorlage zum Herunterladen und Ausführen eines bösartigen RTF-Dokuments nutzten, das mit dem berüchtigten RoyalRoad-Kit bewaffnet war.

Während die früheren Kampagnen von Sharp Panda eine benutzerdefinierte und spezielle Backdoor namens VictoryDll enthielten, handelt es sich bei der Nutzlast in diesem speziellen Angriff um eine neue Version des SoulSearcher-Loaders, der schließlich das modulare Soul-Framework lädt.

Obwohl Proben dieses Frameworks aus den Jahren 2017–2021 bereits analysiert wurden, ist dieser Bericht der bisher umfassendste Blick auf die Infektionskette der Soul-Malware-Familie, einschließlich einer vollständigen technischen Analyse der neuesten Version, die Ende 2022 erstellt wurde.

Obwohl das Soul-Malware-Framework bereits in einer Spionagekampagne für den Verteidigungs-, Gesundheits- und IKT-Sektor in Südostasien aufgetaucht ist, wurde es noch nie einem bekannten Cluster bösartiger Aktivitäten zugeordnet oder damit in Verbindung gebracht. Obwohl derzeit nicht klar ist, ob das Soul-Framework von einem einzelnen Hacker genutzt wird, kann CPR es aufgrund seiner Recherchen einer APT-Gruppe mit chinesischen Ursprüngen zuordnen.

In keiner der früheren Analysen und öffentlichen Berichte wurde das Soul-Framework einem bestimmten Land oder einem bekannten Akteur zugeordnet. Dennoch weißen die Forscher auf die fähige Vorgehensweise der Kriminellen hin, die ihrer Meinung nach auf eine möglicherweise staatlich finanzierte Gruppe hindeutet.

Die Verbindung zwischen den Tools und TTPs (Taktiken, Techniken und Verfahren) von Sharp Panda und den zuvor erwähnten Angriffen in Südostasien könnte als ein weiteres Beispiel für Schlüsselmerkmale chinesisch basierter APT-Operationen dienen, wie z. B. die gemeinsame Nutzung benutzerdefinierter Tools zwischen Gruppen oder die Aufgabenspezialisierung, wenn eine Einheit für die anfängliche Infektion verantwortlich ist und eine andere die eigentliche Informationsbeschaffung durchführt.

Die späteren Phasen der Infektionskette in der beschriebenen Kampagne basieren auf Soul, einem bisher nicht zugeordneten modularen Malware-Framework. Das Soul-Framework ist seit mindestens 2017 im Einsatz, doch die dahinterstehenden Hacker haben die Architektur und Fähigkeiten ständig aktualisiert und verfeinert.

Auf der Grundlage, der in dieser Untersuchung präsentierten technischen Erkenntnisse geht CPR davon aus, dass diese Kampagne von fortschrittlichen, von China unterstützten Bedrohungsakteuren inszeniert wird, deren weitere Tools, Fähigkeiten und Position innerhalb des breiteren Netzwerks von Spionageaktivitäten noch zu erforschen sind.

Weitere Beiträge....