Check Point beschreibt drei verschiedene Infektionsketten, über die sich Silver Dragon den ersten Zugang zu einem Zielnetz verschafft. Die ersten beiden – AppDomain-Hijacking und Service-DLL – weisen laut Bericht klare operative Überschneidungen auf: Beide werden über komprimierte Archive ausgeliefert, was auf den Einsatz in Szenarien nach einer bereits erfolgten Kompromittierung hindeutet. In mehreren Fällen kamen diese Ketten zum Einsatz, nachdem öffentlich erreichbare, verwundbare Server übernommen worden waren.
Beide Ketten stützen sich auf ein RAR-Archiv mit einem Installations-Batchskript, das mutmaßlich von den Angreifern ausgeführt wird – nach Einschätzung von Check Point ein Hinweis auf einen gemeinsamen Auslieferungsmechanismus. Die dritte Strategie ist eine Phishing-Kampagne mit einer schädlichen LNK-Datei im Anhang. In einem dokumentierten Fall verschickte die Gruppe Phishing-Köder an Regierungsstellen in Usbekistan, die offizielle Korrespondenz imitierten und präparierte LNK-Anhänge enthielten. Die dabei verwendeten ähnlichen Loader fassen die Forscher unter dem Namen “BamboLoader” zusammen.
Nach dem Einbruch nutzt die Gruppe das sogenannte Service-DLL-Hijacking, das Schadcode innerhalb legitimer Windows-Dienste verbirgt und so langfristige, unauffällige Persistenz ermöglicht. Zur Schadsoftware zählen Cobalt-Strike-Beacons für den ersten Zugriff auf kompromittierte Hosts sowie ein DNS-Tunneling-Werkzeug für die Befehls- und Kontrollkommunikation (C2), mit dem netzwerkseitige Erkennungsmechanismen umgangen werden sollen.
In ihren jüngsten Angriffen setzt Silver Dragon zudem eine neue, maßgeschneiderte Hintertür namens GearDoor ein, die Google Drive als C2-Kanal verwendet, um die Kommunikation und Auftragsvergabe über einen vertrauenswürdigen Cloud-Dienst zu verschleiern. Im Werkzeugkasten der Gruppe finden sich außerdem zwei weitere Eigenentwicklungen: SSHcmd, ein Kommandozeilenwerkzeug für Fernzugriff und seitliche Bewegung im kompromittierten Netz, sowie SilverScreen, ein Überwachungswerkzeug, das in festen Abständen Bildschirmfotos der Nutzeraktivität aufnimmt.
Die Verbindung zu APT41 leitet Check Point aus “starken Ähnlichkeiten im Vorgehen” ab, insbesondere beim Einsatz von BamboLoader und den Installationsskripten nach der Kompromittierung, die zu den Taktiken der Gruppe passen. APT41 – auch bekannt als Double Dragon, Barium, Winnti, Wicked Spider und Wicked Panda – wird von Sicherheitsforschern mindestens seit 2012 verfolgt und ist vor allem für Spionage im Auftrag der chinesischen Regierung bekannt; Mitglieder der Gruppe waren daneben auch finanziell motiviert aktiv.
Laut Check Point dürfte Silver Dragon eher einen strategischen Spionagekurs verfolgen als finanzielle Gewinne anstreben. Den Forschern zufolge sollten Organisationen, insbesondere im öffentlichen Sektor, ihre ins Internet gerichteten Systeme vorrangig patchen, um die Ausnutzung bekannter Schwachstellen zu verhindern. Zudem sollten sie unautorisierte Änderungen an Konfigurationen von Windows-Diensten überwachen und auf die im Bericht veröffentlichten Kompromittierungsindikatoren (IoCs) achten.
