Im Zentrum der Infektion steht die Backdoor AppleChris, die nach seitlicher Bewegung im Netzwerk in unterschiedlichen Versionen auf den Zielsystemen abgelegt wird – so sichern die Angreifer ihren dauerhaften Zugang und umgehen zugleich die signaturbasierte Erkennung. Laut Unit 42 suchten die Täter gezielt nach Protokollen offizieller Treffen, gemeinsamen militärischen Aktivitäten und detaillierten Bewertungen operativer Fähigkeiten. Besonderes Interesse galt Unterlagen zu militärischen Organisationsstrukturen und Strategien, einschließlich sogenannter C4I-Systeme für Führung, Steuerung, Kommunikation, Computer und Aufklärung.

Beide AppleChris-Varianten und MemFun greifen auf ein gemeinsames Pastebin-Konto zu, das als Dead-Drop-Resolver dient: Dort wird die eigentliche C2-Adresse Base64-kodiert hinterlegt und von der Malware abgerufen. Eine AppleChris-Version bezieht die C2-Informationen zusätzlich über Dropbox und nutzt Pastebin nur als Ausweichlösung. Die entsprechenden Pastebin-Einträge reichen bis September 2020 zurück.

AppleChris wird per DLL-Hijacking gestartet und nimmt Kontakt zum C2-Server auf, um Befehle zu empfangen. Diese erlauben unter anderem das Auflisten von Laufwerken und Verzeichnissen, das Hoch-, Herunterladen und Löschen von Dateien, das Auflisten von Prozessen, die Ausführung einer Remote-Shell sowie das stille Erzeugen von Prozessen. Eine zweite, weiterentwickelte Tunneler-Variante bezieht ihre C2-Adresse ausschließlich über Pastebin und bringt zusätzlich erweiterte Netzwerk-Proxy-Funktionen mit.

Um automatisierte Sicherheitssysteme zu umgehen, setzen einige Varianten auf Sandbox-Umgehung: Sie verzögern ihre Ausführung über Sleep-Timer von 30 Sekunden (EXE) beziehungsweise 120 Sekunden (DLL) und überdauern damit die üblichen Überwachungsfenster automatisierter Sandboxes.

MemFun wird über eine mehrstufige Kette gestartet. Ein erster Loader injiziert Shellcode, der einen im Arbeitsspeicher laufenden Downloader startet; dieser holt die C2-Konfiguration von Pastebin, kommuniziert mit dem Server und lädt eine DLL nach, die schließlich die Backdoor ausführt. Da die DLL erst zur Laufzeit vom C2 geladen wird, können die Angreifer beliebige weitere Schadmodule ausliefern, ohne etwas ändern zu müssen. Damit wird MemFun zu einer modularen Plattform – anders als die statische Backdoor AppleChris.

Die Ausführung von MemFun beginnt mit einem Dropper, der zunächst Anti-Forensik-Prüfungen durchführt und anschließend seinen eigenen Erstellungszeitstempel an den des Windows-Systemverzeichnisses angleicht. Danach injiziert er die Hauptlast per Process Hollowing in den Speicher eines angehaltenen “dllhost.exe”-Prozesses und tarnt sich so als legitimer Windows-Prozess, ohne zusätzliche Spuren auf der Festplatte zu hinterlassen.

Zum Einsatz kommt zudem Getpass, eine angepasste Mimikatz-Version. Sie erhöht Berechtigungen und versucht, Klartextpasswörter, NTLM-Hashes und Authentifizierungsdaten direkt aus dem Speicher des Prozesses “lsass.exe” auszulesen.

Die Angreifer hätten über Monate hinweg ruhenden Zugang aufrechterhalten und sich dabei auf präzise Informationsbeschaffung und robuste Maßnahmen zur eigenen Tarnung konzentriert, um die Langlebigkeit der Kampagne zu sichern, fasst Unit 42 zusammen.