China-nahe Gruppe kompromittiert REDCap-Server und stiehlt Forschungsdaten

Zusammenfassung

Eine China-nahe Spionagekampagne hat laut Google Threat Intelligence Group (GTIG) exponierte REDCap-Server angegriffen und bei einer medizinischen Einrichtung in Nordamerika sensible Forschungsdaten abgegriffen. Die Angriffe schreibt Google dem Bedrohungsakteur UNC6508 zu, der im Netzwerk des Opfers mehr als ein Jahr unentdeckt geblieben sein soll. REDCap wird in der medizinischen und wissenschaftlichen Forschung breit eingesetzt, um Datenbanken und Umfragen für regulierte Forschungsumgebungen zu erstellen und zu verwalten. Den genauen Weg der Erstkompromittierung konnten die Forscher nicht feststellen, beobachteten jedoch, dass UNC6508 ältere, verwundbare REDCap-Versionen sondierte. Nach den Untersuchungsergebnissen wurde die betroffene Forschungsorganisation im September 2023 kompromittiert; die bösartige Aktivität dauerte demnach über mehr als ein Jahr bis November 2025 an. Drei Monate nach dem ersten Eindringen installierten die Angreifer laut GTIG die eigens für REDCap entwickelten Schadsoftware InfiniteRed und versteckten deren Bestandteile, indem sie Systemdateien des Servers trojanisierten.

InfiniteRed besteht laut GTIG aus drei Komponenten: einem Modul für Persistenz und Updates, einem Zugangsdaten-Sammler und einer Backdoor. Der Sammler erfasst Benutzernamen und Passwörter, die über REDCap-Anmeldeseiten eingegeben werden, verschlüsselt sie und speichert sie in lokalen Datenbanktabellen von REDCap zur späteren Abholung.

Die Backdoor empfängt Befehle über HTTP-Cookies. Google hebt zudem eine Technik hervor, die die Forscher bei China-nahen Akteuren als neu bezeichnen: die missbräuchliche Nutzung legitimer „Inhalts-Compliance-Regeln“ in cloudbasierten Produktivitätswerkzeugen von Unternehmen, um Daten per E-Mail abzuleiten.

Nachdem UNC6508 Administratorzugriff erlangt hatte, legte die Gruppe eine Inhalts-Compliance-Regel mit dem Namen „Patroit“ an. Diese Regel durchsuchte die Organisation nach bestimmten Schlüsselwörtern, Inhaltsmustern, E-Mail-Adressen und Telefonnummern. Treffer wurden automatisch als Blindkopie an „BebitaBarefoot774@gmail.com“ gesendet; das Konto ist laut Google inzwischen deaktiviert.

Die verwendeten Suchbegriffe zielten nach Angaben von GTIG auf wertvolle Informationen aus medizinischer Forschung, fortgeschrittener Technologie, militärischen Themen und geostrategischer Politik. Google meldete mehreren kompromittierten Organisationen in den USA und Kanada den Befall mit InfiniteRed. Zu den betroffenen Forschungsschwerpunkten erklärt das Unternehmen, sie reichten „von molekularer Forschung und klinischen Arzneimittelstudien bis hin zu staatlicher Gesundheitspolitik und militärischer Einsatzbereitschaft“.

GTIG beobachtete in der Kampagne ein hohes Maß an operativer Abschirmung. Dazu zählten eine in den USA angesiedelte Residential-Proxy-Infrastruktur, kompromittierte Router, VPS, die Wiederverwendung abgegriffener Zugangsdaten sowie dedizierte Infrastruktur für die Datenexfiltration.

REDCap-Administratoren empfiehlt Google, ihre Instanzen auf die neuesten verfügbaren Versionen zu aktualisieren und Altinstallationen zu entfernen. Außerdem rät das Unternehmen zu MFA beziehungsweise Zwei-Schritt-Verifizierung für Konten mit hohen Rechten sowie zu Device Bound Session Credentials (DBSC), um die Übernahme von Sitzungen zu verhindern. YARA-Regeln und Kompromittierungsindikatoren enthält der Bericht ebenfalls, damit Sicherheitsteams ihre Umgebungen auf InfiniteRed-Infektionen prüfen können.

China-nahe Gruppe kompromittiert REDCap-Server und stiehlt Forschungsdaten

Ähnliche Artikel

Neueste Artikel