Eine chinesische APT-Gruppe attackiert seit 2024 Telekommunikationsinfrastruktur in Südamerika mit drei neuen Malware-Varianten. Die von Cisco Talos analysierte Kampagne nutzt spezialisierte Backdoors für Windows-, Linux- und Edge-Systeme.
Sicherheitsexperten haben eine mit China verbundene Hackergruppe identifiziert, die südamerikanische Telekommunikationsanbieter ins Visier nimmt. Seit 2024 werden dort Windows-, Linux- und Edge-Geräte mit drei zuvor unbekannten Schadprogrammen angegriffen.
Cisco Talos verfolgt diese Aktivitäten unter der Bezeichnung UAT-9244 und sieht enge taktische Verbindungen zur Gruppe FamousSparrow. Diese wiederum teilt Ähnlichkeiten mit Salt Typhoon, einer bekannten chinesischen Spionagegruppe, die auf Telekommunikationsdienstleister abzielt. Allerdings gibt es bislang keine handfesten Beweise für eine direkte Verbindung zwischen UAT-9244 und Salt Typhoon.
Die drei neu identifizierten Malware-Tools heißen TernDoor (Windows), PeerTime alias angrypeer (Linux) und BruteEntry (Netzwerk-Edge-Geräte). Als initialer Zugriffspunkt werden offenbar veraltete Versionen von Windows Server und Microsoft Exchange Server ausgenutzt.
TernDoor wird durch DLL-Seitenladen verbreitet: Das legitime Programm “wsprint.exe” lädt eine manipulierte DLL namens “BugSplatRc64.dll”, die die Schadsoftware im Speicher entschlüsselt und ausführt. Als Variante von CrowDoor wird TernDoor mindestens seit November 2024 eingesetzt. Die Persistenz wird über geplante Tasks oder Registry-Einträge gewährleistet. Im Gegensatz zu CrowDoor nutzt TernDoor unterschiedliche Befehls-Codes und enthält einen Windows-Treiber zur Prozesssteuerung. Nach der Ausführung prüft die Malware, ob sie in “msiexec.exe” injiziert wurde, dekodiert dann die C2-Konfiguration und verbindet sich mit dem Kommando-Server, um Prozesse zu erstellen, Befehle auszuführen, Dateien zu manipulieren und Systeminfos zu sammeln.
Die Linux-Variante PeerTime ist ein Peer-to-Peer-Backdoor, das für mehrere Architekturen (ARM, AARCH, PPC, MIPS) kompiliert wurde. Ein instrumentelles ELF-Binary prüft zunächst das Vorhandensein von Docker und führt dann PeerTime aus. Die Debug-Strings sind auf Vereinfachtem Chinesisch, was auf chinesischsprachige Entwickler hindeutet. PeerTime existiert in zwei Versionen: eine in C/C++ und eine neuere in Rust. Das Programm tarnt sich als harmloser Prozess und nutzt das BitTorrent-Protokoll zur Kommunikation mit seinen Peers.
BruteEntry ist ein auf Edge-Geräten installiertes Brute-Force-Tool, das Postgres-, SSH- und Tomcat-Server angreift. Die Golang-basierte Software wird per Shell-Script installiert und empfängt Zielisten vom C2-Server. Nach erfolgreichen Anmeldeversuchen meldet sich BruteEntry zurück und sendet Details über fehlgeschlagene oder erfolgreiche Logins.
Quelle: The Hacker News