Die chinesische Hackergruppe Silver Dragon, ein Ableger der APT41, führt seit Mitte 2024 Cyber-Spionage-Kampagnen gegen Regierungsbehörden in Europa und Südostasien durch. Die Gruppe nutzt Phishing-Angriffe und legitime Windows-Dienste zur Verschleierung ihrer Aktivitäten.
Sicherheitsforscher von Check Point haben eine neue chinesische Bedrohungsgruppe namens Silver Dragon identifiziert, die als Ableger der gefürchteten APT41 agiert. Seit mindestens Mitte 2024 führt die Gruppe systematische Cyber-Spionage-Kampagnen gegen Regierungsinstitutionen in Südostasien und Europa durch.
Die Besonderheit von Silver Dragons Vorgehensweise liegt darin, dass die Gruppe legitime Server und Dienste für ihre illegalen Aktivitäten missbraucht. Dies verleiht ihren Operationen einen Anschein von Legitimität und erschwert die Detektion erheblich. Die anfängliche Kompromittierung erfolgt typischerweise über öffentlich erreichbare Internet-Server sowie Phishing-E-Mails mit schädlichen Anhängen. Zur Aufrechterhaltung ihrer Präsenz kapern die Angreifer legitime Windows-Dienste, wodurch sich ihre Malware nahtlos in normale Systemaktivitäten einfügt.
Check Point identifizierte drei primäre Infektionsketten: AppDomain-Hijacking, Service-DLL-Hijacking und Phishing-Kampagnen mit schädlichen LNK-Dateien. Die ersten beiden Methoden werden über komprimierte Archive verbreitet und folgen Exploits an anfälligen Servern. Bei einer dokumentierten Kampagne versendete die Gruppe täuschend echte offizielle Korrespondenz an usbekische Behörden, ausgestattet mit präparierten LNK-Dateien.
Zur Umsetzung ihrer Angriffe nutzt Silver Dragon verschiedene Malware-Tools. Dazu gehören Cobalt Strike-Beacons als initialer Zugangspunkt, ein DNS-Tunneling-Tool zur Command-and-Control-Kommunikation und ein neu entwickelter Custom-Backdoor namens GearDoor. Dieser nutzt Google Drive als C2-Kanal, um über einen vertrauenswürdigen Cloud-Dienst verborgen zu kommunizieren. Zwei weitere Werkzeuge im Arsenal sind SSHcmd für Remote-Zugang und laterale Bewegungen sowie SilverScreen, ein Überwachungstool zur Erfassung von Bildschirmaufnahmen.
Die Verbindung zu APT41 beruht auf auffälligen handwerklichen Ähnlichkeiten, insbesondere bei der Verwendung von BamboLoader und Post-Exploitation-Installationsskripten. APT41, auch als Double Dragon, Barium, Winnti und Wicked Panda bekannt, wird seit mindestens 2012 verfolgt und ist berüchtigt für Spionageoperation im Auftrag der chinesischen Regierung.
Check Point warnt, dass Silver Dragon wahrscheinlich eher einen strategischen Spionagekurs verfolgen wird als finanzielle Gewinne anzustreben. Die Nutzung legitimer Systemressourcen macht die Gruppe jedoch besonders gefährlich. Organisationen, besonders im öffentlichen Sektor, sollten dringend ihre Internet-Schnittstellen patchen, Windows-Service-Konfigurationen überwachen und die von Check Point veröffentlichten Indikatoren für Kompromittierungen prüfen.
Quelle: Dark Reading