Industrieunternehmen und öffentliche Einrichtungen im Visier von chinesischen Hackern

Industrieunternehmen und öffentliche Einrichtungen im Visier von chinesischen Hackern

Industrieunternehmen und öffentliche Einrichtungen im Visier von chinesischen Hackern

Mehr als ein Dutzend Unternehmen aus dem Militär- und Industriesektor sowie öffentliche Einrichtungen aus Europa und Afghanistan sind seit Januar 2022 Opfer einer neuen Angriffswelle geworden.

Hinter diesen Angriffen steht vermutlich eine mit China verbundene Hackergruppe mit dem Namen TA428. TA428, auch bekannt unter den Namen Bronze Dudley, Temp.Hex und Vicious Panda, hat in der Vergangenheit vermehrt Einrichtungen in der Ukraine, Russland, Weißrussland und der Mongolei angegriffen. Es wird angenommen, dass sie Verbindungen zu einer weiteren Hackergruppe namens Mustang Panda (auch bekannt als Bronze President) hat.

Die Angriffe zielen darauf ab, vertrauliche Daten zu stehlen. Hierfür dringen die Angreifer in die IT-Netzwerke der Unternehmen ein. Als Instrument dienen sorgfältig gestaltete Phishing-E-Mails, darunter einige, die auf nicht öffentliche Informationen der Organisationen verweisen, um die Empfänger dazu zu bringen, manipulierte Microsoft Word-Dokumente zu öffnen. Diese „Köder-Dateien“ enthalten Exploits eines Speicherfehlers in der Equation Editor-Komponente (CVE-2017-11882), der zur Ausführung von beliebigem Code in den betroffenen Systemen führen kann. Hierdurch entsteht für die Angreifer eine Hintertür namens PortDoor, die für die weiteren Angriffsschritte dient. Im Anschluss kapert der Angreifer den Domänencontroller und erlangt somit die vollständige Kontrolle über alle Workstations und Server des Unternehmens. Hierfür nutzt er den privilegierten Zugriff, um relevante Dateien in Form komprimierter ZIP-Archive auf einen Remote-Server in China zu exfiltrieren.

Unsere Handlungsempfehlungen:

- Prüfen Sie vor dem Öffnen von Office-Dokumenten genau den Absender
- Office-Dokumente sollten nur in Ausnahmefällen zur externen Kommunikation genutzt werden
- Schalten Sie das Ausführen von Macros grundsätzlich ab und aktivieren Sie die Ausführung nur, wenn Sie den Absender verifiziert haben und kennen
- Halten Sie Ihre Systeme auf dem neusten Stand (Updates)

Quellen:

https://www.proofpoint.com/us/threat-insight/post/chinese-apt-operation-lagtime-it-targets-government-information-technology

https://malpedia.caad.fkie.fraunhofer.de/actor/ta428

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-11882