Die Insikt Group von Recorded Future hat eine neue Malware-Kampagne entdeckt, die sich mit einem Spearphishing-Angriff auf die kambodschanische Regierung richtet und sich dabei an die Association of Southeast Asian Nations (ASEAN) richtet. Mithilfe der Erkennung von Recorded Future RAT-Controllern und der Netzwerkverkehrsanalyse hat die Insikt Group eine neue Betriebsinfrastruktur identifiziert, die wir der vom vietnamesischen Staat gesponserten Bedrohungsaktivitätsgruppe APT32, auch bekannt als OceanLotus, zuschreiben. Diese Einschätzung wird auch durch die Identifizierung mehrerer kambodschanischer Opferorganisationen gestützt, die mit dieser Infrastruktur kommunizieren, und steht im Einklang mit früheren Kampagnen, die sich gegen diese Organisationen richteten.

Geschichte

Vietnam und Kambodscha blicken auf eine lange Geschichte von Konflikten zurück, die bis in den chinesisch-vietnamesischen Krieg der 1970er Jahre zurückreicht, als Vietnam mit Vergeltungsangriffen auf Chinas "kleinen Bruder" Kambodscha begann. Im Jahr 2017 begann Vietnam mit der Gründung von APT32, seine Fähigkeiten zur Cyberkriegsführung zu stärken, die während des Jahresgipfels 2017 auf die ASEAN-Website sowie auf Websites von Ministerien oder Regierungsbehörden in Kambodscha, Laos und den Philippinen abzielte. In den letzten Jahren haben sich die Beziehungen zwischen Vietnam und Kambodscha verschlechtert , was zum Teil auf Chinas Belt and Road Initiatives (BRI) in der Region zurückzuführen ist. Mit der Annäherung des kambodschanischen Premierministers Hun Sen an den chinesischen Präsidenten Xi Jinping haben die beiden die Partnerschaften zwischen den beiden Ländern gestärkt und Vietnam aus wichtigen regionalen Kooperativen verdrängt. Zu den chinesischen Investitionen in Kambodscha gehören kritische Infrastruktur, gemeinsame Militärübungen im Südchinesischen Meer und eine neue Immobilienentwicklung nördlich des Marinestützpunkts Ream, der strategisch günstig am Golf von Thailand zwischen Vietnam und Kambodscha gelegen ist.

Neue APT32-Infrastruktur

Im Juni 2020 berichtete die Insikt Group über eine neue operative APT32-Infrastruktur, die durch eine proprietäre Methode zur Verfolgung von mit APT32 verbundenen Malware-Aktivitäten wie METALJACK und DenisRAT identifiziert wurde. Mit derselben Methodik hat die Insikt Group weiterhin neue, aktive APT32-IP-Adressen und zugehörige Domänen identifiziert. Die Forscher von Insikt entdeckten mehrere Samples, die Teil dieser Kampagne sind: Sample 1: Das erste Sample wird über ein bösartiges Dokument mit dem Titel „ „បញ្ជីរាយនាមអនុព័ន្ សហប្រតិបត្តិការយោធ [.]exe“, was übersetzt „Liste der ausländischen Militäreinheiten und des Büros für militärische Zusammenarbeit in Kambodscha.docx“ bedeutet.[.]exe“. Dieses wahrscheinlich durch Spearphishing übertragene Beispiel ist ein selbstextrahierendes Archiv (SFX), das vier Dateien enthält:

1. Eine legitime, von Apple signierte ausführbare Datei (SoftwareUpdate.exe).
2. Eine zugehörige, harmlose Dynamic Link Library (DLL)-Datei (SoftwareUpdateFiles.dll).
3. Eine bösartige DLL (SoftwareUpdateFilesLocalized.dll).
4. Eine Datei namens „SoftwareUpdateFiles.locale“, die verschlüsselten Shellcode enthält.

Beim Ausführen des SFX lädt die ausführbare Apple-Datei die harmlose DLL, bevor sie die bösartige DLL lädt, die im Dateipfad SoftwareUpdateFiles.Resources/en.lproj gespeichert ist. Anschließend extrahiert die bösartige DLL den verschlüsselten Shellcode aus der Datei „SoftwareUpdateFile.locale“, entschlüsselt ihn und führt ihn aus. Dabei wird dem Benutzer ein Täuschungsdokument angezeigt (ein Microsoft Word-Dokument mit der Anzeige eines „Aktivierungsfehlers“), und schließlich wird die endgültige Nutzlast geladen.

Dieser Ladeprozess stimmt mit der APT32-Aktivität überein, die zuvor von der Insikt Group und Ahnlab in Bezug auf eine APT32-Probe berichtet wurde, die sich auf den ASEAN-Gipfel 2020 bezieht. Weitere Analysen dieser Artefakte zur Identifizierung der Malware-Familie sind innerhalb der Insikt Group im Gange, und Updates werden veröffentlicht, sobald weitere Samples analysiert werden.

Beispiel 2: Ein zweites Beispiel, das am 22. Oktober 2020 in ein Malware-Repository hochgeladen wurde, verwendet denselben Ladevorgang und kommuniziert mit einer der identifizierten C2-Domänen, cloud.bussinesappinstant[.]com.

In diesem Beispiel heißt die SFX-Datei „9_Programme_SOMCA-Japan_FINAL.docx~.exe“, wahrscheinlich in Bezug auf das ASEAN Senior Officials Meeting for Culture and Arts (SOMCA), was darauf hindeutet, dass APT32 weiterhin Interesse daran hat, ASEAN und andere Mitgliedsstaaten ins Visier zu nehmen.

Das in dieser Kampagne verwendete Lockdokument zeigt eine leere Tagesordnung für das „Siebte Treffen hochrangiger Vertreter von ASEAN Plus Japan für Kultur und Kunst“. (Quelle: Aufgezeichnete Zukunft)

Diese Archivdatei enthält die gleiche Datei „SoftwareUpdateFilesLocalized.dll“ Datei, die im vorherigen Beispiel gesehen wurde. Zusätzlich zu den Überschneidungen bei TTP (Taktiken, Techniken, Verfahren) und Infrastruktur weisen die mit diesem neuesten Sample verknüpften bösartigen DLLs einen identischen Rich Header und Import-Hash auf, der in früheren APT32-Samples zu finden ist.

Weitere Hinweise darauf, dass Kambodscha ins Visier genommen wurde, hat die Insikt Group durch mehrere IP-Adressen gefunden, die einer kambodschanischen Regierungsorganisation zugewiesen sind, die regelmäßig mit der APT32-C2-IP-Adresse 43.254.132[.]212 kommuniziert.