Die Angriffsketten beginnen Unit 42 zufolge typischerweise mit der Ausnutzung von Webservern, um Web-Shells einzuschleusen und sich seitlich auf weitere Hosts zu bewegen. Während Godzilla und ANTSWORD als Web-Shells fungieren, handelt es sich bei Xnote um eine Linux-Backdoor, die seit 2015 beobachtet wird und zuvor von einem Kollektiv namens Earth Berberoka (auch GamblingPuppet genannt) gegen Online-Glücksspielseiten eingesetzt wurde.

Im weiteren Verlauf versuchen die Angreifer, Dateien mit bestimmten Endungen — “web.config”, “.aspx”, “.asmx”, “.asax” und “.dll” — aus dem Verzeichnis “c:\inetpub\wwwroot” eines Windows-Webservers zu entwenden, vermutlich um Zugangsdaten abzugreifen oder Schwachstellen aufzuspüren. Weiter sammelt CL-UNK-1068 den Browserverlauf samt Lesezeichen, XLSX- und CSV-Dateien von Desktops und Benutzerverzeichnissen sowie Datenbank-Sicherungen (.bak) von MS-SQL-Servern.

Bemerkenswert ist die Methode der Datenausschleusung: Die Angreifer archivieren die Dateien mit WinRAR, kodieren das Archiv mit dem Befehl “certutil -encode” in Base64 und geben den Base64-Inhalt anschließend über den Befehl “type” durch die Web-Shell auf dem Bildschirm aus. “Indem sie die Archive als Text kodierten und auf ihrem Bildschirm ausgaben, konnten die Angreifer Daten ausschleusen, ohne tatsächlich Dateien hochzuladen”, erklärt Unit 42. Diese Vorgehensweise sei wahrscheinlich gewählt worden, weil die Shell auf dem Host zwar das Ausführen von Befehlen und das Betrachten der Ausgabe erlaubte, jedoch keine direkte Dateiübertragung.

Eine weitere Technik ist der Einsatz legitimer Python-Programme (“python.exe” und “pythonw.exe”), um per DLL-Sideloading unauffällig schädliche DLLs auszuführen — darunter FRP für dauerhaften Zugriff, PrintSpoofer sowie einen in Go geschriebenen Scanner namens ScanPortPlus.

Zur Erkundung der Umgebung nutzte die Gruppe bereits 2020 ein eigenes .NET-Werkzeug namens SuperDump. Bei jüngeren Einbrüchen ging sie zu einer neuen Methode über, die per Batch-Skripten Host-Informationen sammelt und das lokale Umfeld kartiert. Daneben kommt eine Reihe von Werkzeugen zum Diebstahl von Zugangsdaten zum Einsatz.

Die Gruppe habe ihre Operationen vor allem mit Open-Source-Werkzeugen, in der Community geteilter Schadsoftware und Batch-Skripten verdeckt aufrechterhalten und dabei kritische Organisationen unterwandert, so das Fazit von Unit 42. Das Cluster arbeite sowohl unter Windows als auch unter Linux mit jeweils angepassten Versionen seines Werkzeugkastens. Der Fokus auf Zugangsdaten und sensible Daten aus kritischer Infrastruktur und Behörden lege ein Spionagemotiv nahe — kriminelle Absichten ließen sich jedoch noch nicht vollständig ausschließen.