Bösartiger Panda

In den letzten Monaten gab es mehrere Geschichten über Cyberkriminelle, die die sehr reale Bedrohung durch das Coronavirus nutzten, um Malware und Ransomware zu verbreiten . Diese Drohungen wurden auf der ganzen Welt verbreitet, aber insbesondere aus China kamen einige. Bis zu dem Punkt, an dem die staatlich geförderte chinesische Hackergruppe Vicious Panda begonnen hat, ihre eigene Malware über das Coronavirus zu verbreiten.

Die Informationen über den Angriff stammen von Check Point, die Untersuchungen veröffentlicht haben, die zeigen, dass ein chinesischer APT legitime Informationen über das Coronavirus „als Waffe verwendet“ hat, um ihre bösartige Malware an die Massen zu verbreiten.

Der zweite Angriff

Der Vicious Panda-Angriff ist eigentlich die zweite große Malware-Kampagne im Zusammenhang mit dem Coronavirus (COVID-19), die in den letzten Wochen aus China kam. Das erste geschah Anfang März, als die vietnamesische Cybersicherheitsgruppe VinCSS einen Angriff von Mustang Panda bemerkte. Mustang Panda ist eine weitere staatlich geförderte Hacking-Gruppe Chinas.

Ihr Angriff war dafür bekannt, E-Mails mit einer angehängten RAR-Datei zu verteilen, die angeblich eine Nachricht des vietnamesischen Premierministers über das Coronavirus enthielt. Anstatt irgendeine wichtige Nachricht zu enthalten, enthielt die RAR-Datei einen Backdoor-Trojaner, der sich auf den Computern der Opfer installierte und sie für die Hackergruppe öffnete.

Bösartiger Panda greift mongolische Regierung an

Der Vicious Panda-Angriff wurde von Check Point entdeckt, der sagte, dass sie die Gruppe im Auge behalten, da sie auf mongolische Regierungsorganisationen abzielte. Wie beim ersten Angriff behauptete die Gruppe, wichtige Informationen über das Coronavirus zu haben, die Benutzer herunterladen sollten, um darauf zuzugreifen.

Check Point konnte einen Cyberangriff einer „chinesischen APT-Gruppe auf eine öffentliche Einrichtung der Mongolei“ abfangen. Der Angriff nutzte die Ängste vor dem Coronavirus während der Social-Engineering-Phase. Es enthielt zwei Dokumente. Eines der Dokumente bezog sich auf COVID-19 und beide gaben an, vom mongolischen Außenministerium zu stammen. Die Dokumente wurden mit einer einzigartigen Malware-Bedrohung verpackt, die den Fernzugriff auf die Computer des Opfers ermöglichte.

Bösartige Panda-Spam-E-Mail verbreitete Malware
E-Mail-Anhang – Quelle: research.checkpoint.com

Die Spitze des Eisbergs

Leider ist dieser jüngste Angriff nichts Neues und stellt nur die Spitze des sprichwörtlichen Eisbergs dar. Hacker haben diese Art von Krisen schon immer zu ihrem Vorteil genutzt, sodass sie der Ausnutzung von COVID-19 auf keinen Fall widerstehen konnten.

Das neueste chinesische APT-Dokument trug laut Check Point den Titel „Über die Ausbreitung neuer Coronavirus-Infektionen“. Es zitiert das National Health Committee of China, um authentischer zu wirken und effektiver zu sein. Obwohl es im Zusammenhang mit COVID-19 eine Reihe von Cyber-Bedrohungen gegeben hat, scheint dies die erste zu sein, die von einer staatlich geförderten Hacking-Gruppe gegen eine ausländische Regierung durchgeführt wird.

Check Point ist nicht nur der jüngste in einer Reihe von Hacking-Angriffen im Zusammenhang mit Coronaviren, sondern auch der jüngste in einer laufenden Kampagne chinesischer Hacker gegen andere Regierungen und Organisationen. Der Unterschied besteht darin, dass dieser das Coronavirus als Teil der Bereitstellungsmethode nutzte.

Der Angriff wurde als „Ausnutzung des öffentlichen Interesses am Coronavirus für [Chinas] eigene Agenda durch eine neuartige Cyber-Infektionskette“ beschrieben. Sie sagen, dass Vicious Panda Länder auf der ganzen Welt anvisiert – nicht nur die Mongolei. Sie fordern alle Einrichtungen des öffentlichen Sektors und jedes Telekommunikationsunternehmen auf, bei potenziellen Cyberbedrohungen wachsam zu sein, insbesondere bei allem, was angeblich mit dem Coronavirus zu tun hat.

Die E-Mail und die Dokumente geben vor, von der eigenen Regierung der Mongolei zu stammen. Mindestens einer von ihnen behauptete, vom Außenminister zu kommen. Die Kampagne zielte auf andere Teile des mongolischen öffentlichen Sektors ab. Das Ziel der Kampagne schien darin zu bestehen, Informationen und Screenshots von Regierungscomputern abzurufen, Dateien zu bearbeiten und zu löschen und die Fernsteuerung dieser Computer zu übernehmen.

Wie funktioniert die Vicious Panda Ransomware?
Der bösartige Anhang enthält einen Fernzugriffstrojaner (RAT), der die Kontrolle über Computer übernehmen kann. Der Trojaner ist so programmiert, dass er begrenzte Verbindungen zum Command-and-Control-Server hat, was seine Erkennung erschweren kann. Die Struktur der Nutzlast legt nahe, dass sie andere Module enthalten könnte, die später im Rahmen einer größeren Kampagne installiert werden sollen. Soweit Check Point feststellen kann, handelt es sich bei der für den Angriff verwendeten Malware um eine völlig einzigartige und speziell entwickelte Sorte, aber wie sie genau funktioniert – und was sie tut – ist ziemlich häufig.

bösartige Panda-Malware-Infektionskette
Vicious Panda Infektionsketten - Quelle: research.checkpoint.com

Check Point brach andere Teile der Kampagne zusammen, beispielsweise wo das Kommando- und Kontrollzentrum untergebracht war. Letztendlich ist diese Malware jedoch nichts weniger als eine staatlich geförderte Kampagne. Es verwendet Social Engineering, um Benutzer dazu zu ermutigen, einen Anhang herunterzuladen und zu öffnen. Der Anhang lädt eine weitere Datei und installiert eine Hintertür auf dem Computer. China kann diese Hintertür dann ausnutzen, um Ziele der Regierung auszuspionieren.

Cyberkriminelle werden China und das Coronavirus weiterhin nutzen

Während die Wegweiser der obersten Ebene nicht genügend Informationen bieten, um genau festzustellen, wer hinter dem Angriff steckt, hat Check Point den Malware-Code untersucht und festgestellt, dass er dem Code ähnelt, der in anderer Malware im Zusammenhang mit China verwendet wird. Diese Kampagnen richteten sich auch gegen Chinas Feinde.

China – das Epizentrum des Coronavirus – nutzt das Virus mit vielen betrügerischen Methoden zu seinem eigenen Vorteil. Es ist jedoch nicht verwunderlich, dass sie das Coronavirus verwenden würden, da es derzeit das beste Social-Engineering-Tool ist, das Bedrohungsakteuren zur Verfügung steht. Sogar normale Cyberkriminelle nutzen es in ihren eigenen Kampagnen.

Im Trend

Am häufigsten gesehen

Wird geladen...