Threat Database Backdoors Crosswalk Backdoor

Crosswalk Backdoor

Infosec-Forscher entdeckten eine bisher unbekannte Backdoor-Bedrohung, die bei einer Reihe von Angriffen eines in China ansässigen Bedrohungsakteurs eingesetzt wurde. Die drohenden Operationen richteten sich vorwiegend gegen Entwickler und Publisher von Videospielen aus Hongkong und Russland. Während der vier verschiedenen Angriffe setzten die Hacker verschiedene Malware-Stämme ein, was es schwieriger machte, die Kampagne einem bestimmten Bedrohungsakteur zuzuordnen.

Im Mai 2020 starteten die Hacker zwei separate Angriffe. Die erste stützte sich auf LNK-Verknüpfungen, mit denen die letzte bedrohliche Nutzlast abgerufen und ausgeführt wurde, während die zweite Operation eine etwas ausgefeiltere Angriffskette verwendete. Die Hacker verteilten E-Mails mit einem bedrohlichen RAR-Archiv als Anhang. Im Archiv befanden sich zwei Verknüpfungen zu PDFs, die als Lockvögel dienten und sich als Lebenslauf und IELTS-Zertifikat ausgaben. Der eigentliche Zweck der Verknüpfungen bestand darin, eine Verbindung zu Zeplin herzustellen - einem legitimen Tool, das von Entwicklern für die Zusammenarbeit verwendet wird. Die Hacker haben auf Zeplin ihre Nutzdaten der letzten Phase gehostet, die aus einer Shellcode-Loader-Datei - "svchast.exe" - und Crosswalk, einer Backdoor-Malware, die in einer Datei mit dem Namen "3t54dE3r.tmp" lauert, bestanden.

Crosswalk ist keine neue Malware-Sorte, da sie bereits 2017 entdeckt wurde. Im Kern handelt es sich um eine extrem optimierte modulare Hintertür, mit der Aufklärungsaktivitäten auf kompromittierten Computern durchgeführt werden können. Aufgrund seines modularen Charakters kann die Funktionalität von Crosswalk jedoch an die spezielle Agenda der Cyberkriminellen angepasst werden, indem zusätzliche Module aus der Command-and-Control-Infrastruktur (C2, C&C) der Kampagne in Shellcode-Form abgerufen werden.

Die Gruppe hinter den Angriffen finden

Der Einsatz von Crosswalk gab den Infosec-Forschern schließlich den Anlass, die Angriffe mit der chinesischen Hacker-Gruppe APT41 oder Winnti in Verbindung zu bringen. In der Tat, nur nach den Aspekten des ersten Angriffs zu urteilen, deuteten die Zeichen hauptsächlich auf die koreanischen Hacker der Higaisa-Gruppe hin, die dafür bekannt sind, LNK-Verknüpfungen in ihren Operationen zu verwenden. Das Vorhandensein von Crosswalk und einige Überschneidungen in der Infrastruktur zwischen früheren Winnti-Kampagnen und diesen Serien von Angriffen haben die Forscher von ihrer ursprünglichen Vermutung abgehalten und sie auf den wahrscheinlichen Schuldigen hingewiesen. Die Ziele stimmen auch mit früheren Winnti-Opfern überein, die auch in der Videospielbranche tätig waren.

Die aktuelle Aktivität der Gruppe ist noch nicht abgeschlossen. Bei den jüngsten Angriffen hat sich die bereitgestellte Malware-Nutzlast erneut geändert. Bisher wurden in einigen Fällen bedrohliche RAR-Archive mit einer Variante des Cobal Strike Beacon beobachtet. In anderen Fällen nutzten die Hacker kompromittierte Zertifikate eines taiwanesischen Unternehmens namens Zealot Digital, um Streiks gegen Opfer in Honk Kong zu starten und Crosswalk und Metasploit zu liefern. Eine Vielzahl anderer Malware wurde ebenfalls bewaffnet, darunter ShadowPad, Paranoid PlugX und FunnySwitch, eine bisher unbekannte .NET-Backdoor-Bedrohung.

Im Trend

Am häufigsten gesehen

Wird geladen...