Nach der Analyse von Check Point lassen sich drei Infektionsketten zur Auslieferung von Cobalt Strike unterscheiden: AppDomain-Hijacking, eine Dienst-DLL und E-Mail-Phishing.
Die ersten beiden Ketten zeigen laut Check Point deutliche operative Überschneidungen. Beide werden über komprimierte Archive verteilt, was auf einen Einsatz in Post-Exploitation-Szenarien hindeutet; in mehreren Fällen folgten sie auf die Kompromittierung öffentlich erreichbarer, verwundbarer Server. Beide nutzen ein RAR-Archiv mit einem Batch-Skript. Bei der ersten Kette dient es dazu, den .NET-basierten Loader MonikerLoader abzulegen, der eine zweite Stufe entschlüsselt und direkt im Arbeitsspeicher ausführt. Diese zweite Stufe ahmt das Verhalten von MonikerLoader nach und lädt schließlich die eigentliche Cobalt-Strike-Beacon-Nutzlast.
Die Dienst-DLL-Kette setzt über ein Batch-Skript den Shellcode-DLL-Loader BamboLoader ab, der als Windows-Dienst registriert wird. Die stark verschleierte C++-Malware entschlüsselt und entpackt auf der Festplatte abgelegten Shellcode und injiziert ihn in einen legitimen Windows-Prozess wie “taskhost.exe”. Welcher Prozess für die Injektion verwendet wird, lässt sich in BamboLoader konfigurieren.
Die dritte Kette beruht auf einer Phishing-Kampagne, die sich vor allem gegen Usbekistan richtete und schädliche Windows-Verknüpfungen (LNK) als Anhänge einsetzte. Die präparierte LNK-Datei startet über “cmd.exe” PowerShell-Code, der weitere Nutzlasten extrahiert und ausführt. Dem Opfer wird dabei ein Köderdokument angezeigt, während im Hintergrund über “GameHook.exe” eine bösartige DLL per Sideloading geladen wird, um letztlich Cobalt Strike zu starten.
Eine Besonderheit liegt in der Steuerung der Schadsoftware: Nach der Ausführung meldet sich die Backdoor an einem vom Angreifer kontrollierten Google-Drive-Konto an und lädt eine Heartbeat-Datei mit grundlegenden Systeminformationen hoch. Die Art der auf dem befallenen Rechner auszuführenden Aufgabe wird dabei über unterschiedliche Dateiendungen signalisiert; die Ergebnisse der Ausführung werden anschließend ebenfalls zu Google Drive hochgeladen.
Die Verbindung zu APT41 stützt Check Point auf Überschneidungen im Vorgehen mit zuvor dieser Gruppe zugeschriebenen Post-Exploitation-Installationsskripten sowie darauf, dass der von BamboLoader genutzte Entschlüsselungsmechanismus bereits in Shellcode-Loadern beobachtet wurde, die mit China verbundener APT-Aktivität in Verbindung stehen.
Nach Einschätzung von Check Point entwickelt die Gruppe ihre Werkzeuge und Techniken fortlaufend weiter und erprobt neue Fähigkeiten über verschiedene Kampagnen hinweg. Der Einsatz unterschiedlicher Schwachstellen-Exploits, eigener Loader und ausgefeilter dateibasierter C2-Kommunikation spreche für eine gut ausgestattete und anpassungsfähige Bedrohungsgruppe.
