_Hinweis zum Geltungsbereich: Die Insikt Group von Recorded Future analysierte Netzwerkindikatoren für Kompromittierungen und TTPs im Zusammenhang mit einem Einbruchsvorfall, der auf ein in Großbritannien ansässiges Ingenieurunternehmen abzielte. Zu den Quellen gehören die Produkte von Recorded Future, VirusTotal, ReversingLabs, DomainTools Iris und PassiveTotal sowie Metadaten von Drittanbietern und gängige OSINT-Techniken.

Dieser Bericht dürfte vor allem für Unternehmen der Hightech-Industrie in den USA, Europa und Japan von Interesse sein, ebenso wie für jene, die die vom chinesischen Staat geförderte Cyber-Spionage untersuchen._

Executive Summary

Mitarbeiter eines in Großbritannien ansässigen Maschinenbauunternehmens gehörten Anfang Juli 2018 zu den Opfern einer Spear-Phishing-Kampagne. Die Kampagne zielte auch auf die E-Mail-Adresse eines möglicherweise in Kambodscha ansässigen freiberuflichen Journalisten ab, der über kambodschanische Politik, Menschenrechte und die Entwicklung Chinas berichtet. Wir gehen davon aus, dass bei beiden Angriffen dieselbe Infrastruktur zum Einsatz kam wie bei einer gemeldeten Kampagne des chinesischen Bedrohungsakteurs TEMP.Periscope (auch bekannt als Leviathan), der im Vorfeld der Wahlen im Juli 2018 auf kambodschanische Einrichtungen abzielte. Entscheidend ist, dass das Interesse von TEMP.Periscope an dem von ihnen ins Visier genommenen britischen Maschinenbauunternehmen auf Einbruchsversuche im Mai 2017 zurückgeht.

Auf Grundlage der in diesem Bericht dargelegten verfügbaren Daten und Beweise geht Recorded Future mit mittlerer Sicherheit davon aus, dass der chinesische Bedrohungsakteur TEMP.Periscope öffentlich gemeldete, hochentwickelte TTPs der russischen Bedrohungsgruppen Dragonfly und APT28 wiederverwendet hat, um das britische Ingenieurunternehmen ins Visier zu nehmen und sich so wahrscheinlich Zugang zu sensiblen und proprietären Technologien und Daten zu verschaffen. Wir sind davon überzeugt, dass TEMP.Periscope veröffentlichte TTPs wiederverwendet hat, um entweder die Erfolgschancen der Gruppe zu erhöhen, Zugriff auf das Netzwerk des Opfers zu erhalten, oder um durch das Setzen falscher Flaggen die Zuordnung zu umgehen und so die Forscher zu verwirren.

Zeitleiste ausgewählter APT28-, Dragonfly- und TEMP.Periscope-TTP-Offenlegungen und -Aktivitäten.

Wichtige Urteile

• Die Angreifer nutzten wahrscheinlich eine Command-and-Control-Domäne (C2), scsnewstoday[.]com, die in einer kürzlich durchgeführten TEMP. Periscope-Kampagne gegen die kambodschanische Regierung.
• Die Angreifer nutzten für den Spearphishing-Angriff einen chinesischen E-Mail-Client, Foxmail.
• Bei dem Angriff wurde eine einzigartige Technik verwendet, die als Dragonfly TTP dokumentiert ist, um kritische Infrastrukturen ins Visier zu nehmen. Die Technik versucht, SMB-Anmeldeinformationen über einen "file://"-Pfad im Spearphish abzurufen, der einen böswilligen C2 anruft.
• Bei dem Angriff wurde vermutlich eine Version des Open-Source-Tools Responder als NBT-NS-Poisoner verwendet. APT28 nutzte Responder bei Angriffen auf Reisende, die 2017 in Hotels übernachteten.
• Das britische Ingenieurbüro war zuvor Ziel von TEMP. Periscope in einer Kampagne im Mai 2017 mit derselben C2-Infrastruktur, die später im September 2017 bei der Ausrichtung auf US-amerikanische Ingenieur- und Hochschuleinrichtungen verwendet wurde, wie im Leviathan-Bericht von Proofpoint beschrieben.

Hintergrund

AUSHILFE. Periscope ist ein staatlich geförderter chinesischer Bedrohungsakteur, der erstmals im Oktober 2017 öffentlich bekannt wurde , als Berichte über eine Gruppe namens Leviathan auftauchten. Leviathan nutzte eine Kombination aus einzigartigen und Open-Source-Tools, um die Schifffahrts- und Verteidigungsindustrie zu Spionagezwecken ins Visier zu nehmen. Der Bericht beschreibt die Berichterstattung über die Gruppe, die mindestens bis ins Jahr 2014 zurückreicht.

Monate später tauchten Berichte auf, die auf weitere Aktivitäten gegen den maritimen und Verteidigungssektor hinwiesen, die hauptsächlich auf Unternehmen in den USA und Europa abzielten, und enthielten weitere Details zu den TTPs der Gruppe. Die Aktivität wurde mit dem Namen des neuen Bedrohungsakteurs, TEMP, gekennzeichnet. Periscope, aber die Autoren des Berichts stellten fest, dass Leviathan und TEMP. Periscope waren die gleiche Gruppe.

Die zunehmende Fokussierung auf hochtechnologische Unternehmen des Schiffsbaus fiel mit den wachsenden regionalen Spannungen im Zusammenhang mit Chinas Ansprüchen auf große Teile des Gebiets im Südchinesischen Meer zusammen. Die chinesische Cyberspionage gegen die Anrainerstaaten des Südchinesischen Meeres nahm 2018 weiter zu. So gab es Berichte, wonach TEMP.Periscope Kambodscha im Vorfeld der Wahlen im Juli 2018 ins Visier nahm. Darüber hinaus zeigen Angriffe wie der Anfang 2018 aufgedeckte Angriff auf einen Auftragnehmer der US-Marine, bei dem eine riesige Menge hochsensibler Daten gestohlen wurde, darunter Pläne zur Entwicklung einer U-Boot-gestützten Überschall-Antischiffsrakete, dass China weiterhin auf modernste Marinetechnologie setzt, um die technologische Kluft zu den USA zu schließen.

Bedrohungsanalyse

Der Infektionsvektor

Der von uns untersuchte Einbruchsversuch zielte auf das Netzwerk eines britischen Unternehmens, das spezielle technische Lösungen anbietet. Das britische Ingenieurunternehmen gab Einzelheiten zu dem versuchten Spearphishing-Angriff an Recorded Future weiter. Die folgenden IOCs dienten als Ausgangspunkt für unsere Untersuchung.

E-Mail-Header enthüllten, dass der Spearphish am 6. Juli 2018 um 9:30 Uhr UTC über Foxmail gesendet wurde. Foxmail ist ein Freeware-E-Mail-Client, der von Tencent, einem der drei größten Internetdienstanbieter in China, entwickelt wurde. Foxmail hat über drei Millionen tägliche Nutzer in China und wurde zuvor mit chinesischen APT-Aktivitäten in Verbindung gebracht.

Zusätzlich zu den E-Mail-Adressen der Mitarbeiter des britischen Maschinenbauunternehmens wurde derselbe Spearphishing-Angriff auch an die E-Mail-Adresse eines möglicherweise in Kambodscha ansässigen Journalisten gesendet. Der Absenderaccount täuschte einen australischen Journalisten und Anwalt vor, der unter anderem über zivile und soziale Angelegenheiten in Kambodscha schreibt und für die Phnom Penh Post geschrieben hat.

In einer Spearphishing-Kampagne, die auf die kambodschanischen Wahlen im Juli 2018 abzielte, fälschte der chinesische Bedrohungsakteur TEMP.Periscope die Absenderadresse und gab sich als Mitarbeiter einer kambodschanischen Nichtregierungsorganisation (NGO) aus.

Ausschnitt einer Spearphishing-E-Mail, die vom angegriffenen britischen Maschinenbauunternehmen weitergegeben wurde.

Die E-Mail enthielt zwei bösartige Links. Beim ersten Link „file://“ wird beim Anklicken eine SMB-Sitzung generiert. Der zweite Link führte zu einer URL Datei, die auch zum Erstellen einer ausgehenden SMB-Verbindung konfiguriert wurde.

Der Bedrohungsakteur gab sich als kambodschanischer Reporter aus und forderte das Opfer auf, weitere Informationen auf ihre „Berichts-Website“ hochzuladen. Allerdings wurden die Netzwerkverteidiger der betroffenen Organisation durch Rechtschreib- und Interpunktionsfehler in der Nachricht alarmiert.

Unsere Analyse der im E-Mail-Header enthaltenen Metadaten und eine anschließende kontrollierte Interaktion mit der Dateifreigabe über SMB offenbarten mehrere interessante Merkmale des Eindringversuchs.

Responder: Der „NetBIOS-Giftmacher“

Zuerst haben wir den SMB-Dateipfad-Link analysiert. Wir haben den Hostnamen WIN-PRH492RQAFV auf C2 82.118.242[.]243 als es versuchte, SMB-Anmeldeinformationen aus dem Opfernetzwerk abzurufen. Wir stellten dann fest, dass der Hostname WIN-PRH492RQAFV in mehreren geforkten Versionen eines Python-Hacktools namens Responder auf GitHub fest codiert war. Eine Version von Responder mit diesem Hostnamen wurde in einem Build von P4wnP1¹ gefunden, der auf BeeBin, einen kostenlosen Datei-Upload-Dienst, hochgeladen wurde, und eine andere Version mit demselben Hostnamen wurde in PiBunny gefunden.

WIN-PRH492RQAFV Zeichenfolge, die in einer geänderten Version von Responder auf GitHub vorhanden ist.

Responder wurde im Januar 2014 veröffentlicht. In der README-Datei, die im offiziellen GitHub-Repository aufgeführt ist, wird es wie folgt beschrieben: "Responder ist ein LLMNR-, NBT-NS- und MDNS-Poisoner. Es antwortet auf spezifische NBT-NS (NetBIOS Name Service) Abfragen basierend auf ihrem Namenssuffix (siehe: http://support.microsoft.com/kb/163409). Standardmäßig antwortet das Tool nur auf Dateiserverdienstanforderungen, die für SMB gelten. Das Konzept dahinter ist, unsere Antworten gezielt zu finden und im Netzwerk unauffälliger zu sein ..."

Der böswillige Einsatz von Responder wurde erstmals am 11. August 2017 öffentlich dokumentiert. Verantwortlich dafür war APT28, auch bekannt als Fancy Bear. Das Tool wurde gegen Hotelbesucher eingesetzt, um NetBios-Ressourcen zu fälschen. Die Opfer wurden dazu gezwungen, eine Verbindung zum UDP-Port 137 herzustellen und ihre Anmeldeinformationen über SMB an APT28 weiterzugeben, was der Bedrohungsakteur dann nutzte, um erweiterte Zugriffsrechte auf das Netzwerk zu erhalten.

Weitere Lehren aus Russland: SMB-Anmeldeinformationen über den Pfad „file://“ abgreifen

Aufbauend auf der Verwendung von Responder schien der Bedrohungsakteur auch Techniken eines anderen russischen Bedrohungsakteurs zu übernehmen, nämlich Dragonfly, auch bekannt als Energetic Bear oder Crouching Yeti.

Der Pfad "file://82.118.242[.]243/[ZENSIERT]" Die im Spearphish verwendete Methode stiehlt wahrscheinlich SMB-Anmeldeinformationen, indem ein unsichtbares Image-Tag erstellt wird, das der Host über SMB abzurufen versucht, während den Angreifern ein Hash-Wert des NTLM-Kennworts des Benutzers zugewiesen wird. Beim Ausführen des Codes erstellt der Browser ein unsichtbares Image-Tag und setzt die URL auf einen Angriffsserver mit dem Protokollschema "file://", der auch den Login-NTLM-Hash des Benutzers überträgt. Dies schuf ein effektives Wasserloch, um Fingerabdrücke potenzieller Opfer zu erstellen und Anmeldeinformationen für spätere Eingriffe in Zielnetzwerke zu sammeln.

Diese Technik, bei der der Pfad „file://“ zum Auslösen einer SMB-Verbindung genutzt wird, wurde erstmals am 15. März 2018 von US-CERT öffentlich beschrieben. Es handelt sich um eine ausgeklügelte Technik, die von russischen Regierungsakteuren verwendet wird, bei denen es sich vermutlich um den Bedrohungsakteur Dragonfly handelt und der es auf die Energiebranche und andere kritische Infrastruktursektoren abgesehen hat.

SWC gehostet auf 82.118.242[.]243?

Die Registrierungsdetails für 82.118.242[.]243, die mit dem oben beschriebenen Diebstahl der SMB-Anmeldeinformationen in Verbindung stehende IP, erwiesen sich als nicht schlüssig. WHOIS verwies auf die IP innerhalb eines riesigen Bereichs, der beim britischen ISP Virgin Media registriert ist (82.0.0.0 - 82.47.255.255). MaxMind hat die IP jedoch an den bulgarischen Hosting-Anbieter Histate Global Corp. aufgelöst.

Basierend auf den aufgelisteten Schwachstellen in Shodan und den Scan-Ergebnissen für die Maschine ist 82.118.242[.]242 ein Webserver, auf dem wahrscheinlich Windows Internet Information Services (IIS) 7.5 läuft. Die Ports 22, 80, 88, 443, 445, 587, 902 und 5985 sind geöffnet.

Schwachstellen, die wahrscheinlich mit 82.118.242[.]243 zusammenhängen.

Eine andere IP-Adresse, die in denselben /24 CIDR-Bereich fällt, 82.118.242[.]124, wurde im Juli 2018 in Recorded Future mit einem ungewöhnlich hohen Risiko-Score von 89 gekennzeichnet. Dies war darauf zurückzuführen, dass die IP in der IOC-Liste von Cisco Talos als Malware der zweiten Stufe auftauchte, die mit dem VPNFilter-Botnet in Verbindung gebracht wurde. Dieses Botnet wurde vom US-Justizministerium APT28 zugeschrieben.

Basierend auf der Sicherheitslücke im Webserver 82.118.242[.]243 und der Verwendung der „file://“-Technik zum Stehlen von SMB-Anmeldeinformationen, die das Opfer zur IP umleitet, gehen wir davon aus, dass der Bedrohungsakteur den Webserver kompromittiert und ihn als gezieltes „Watering Hole“ verwendet hat, um im Rahmen dieser Kampagne illegal an SMB-Anmeldeinformationen von Opfern zu gelangen.

WIN-AB2I27TG6FK und der chinesische Bedrohungsakteur TEMP.Periscope

Der Hostname WIN-AB2I27TG6FK wurde als NetBios-Servername des Geräts beobachtet, das den Spearphish von der VPN-IP 193.180.255[.]2 sendet.

Open-Source-Recherchen für den Hostnamen WIN-AB2I27TG6FK ergaben ein offenes Verzeichnis (Google cached Link) unter der URL scsnewstoday[.]com/news/, das mehrere Dateien gehostet hat, die den Hostnamen im Dateinamen enthalten (siehe Snapshot der Domain unten). Die Domain wurde zuvor als C2 gemeldet , die vom chinesischen Bedrohungsakteur TEMP verwendet wird. Periscope zur Bereitstellung ihres AIRBREAK-Downloaders. AIRBREAK, auch bekannt als Orz, ist eine JavaScript-basierte Backdoor, die Befehle aus versteckten Zeichenfolgen auf kompromittierten Webseiten und von Akteuren kontrollierten Profilen auf legitimen Diensten abruft.

Dateiauflistung in einem offenen Verzeichnis, das unter http://scsnewstoday\[.]com/news gehostet wird.

Zusätzlich zu AIRBREAK hostete der scsnewstoday C2-Server Berichten zufolge weitere Malware und Protokolle im Zusammenhang mit TEMP. Periscope bösartige Aktivitäten, die im Vorfeld der Wahlen im Land auf kambodschanische Einrichtungen abzielten. Die Spearphishing gegen das britische Maschinenbauunternehmen fand zur gleichen Zeit statt, als diese Kampagne aktiv war – Anfang Juli 2018. Nach der Namenskonvention zu urteilen, die für Dateinamen im offenen Verzeichnis verwendet wird, beziehen sich C2S und S2C wahrscheinlich auf Client-zu-Server- und Server-zu-Client-Verbindungen mit dem Hostnamen WIN-AB2I27TG6FK, der unserer Meinung nach wahrscheinlich der Hostname ist, der mit dem scsnewstoday[COM C2. Wir gehen davon aus, dass viel mehr Dateien aufgelistet werden, wenn die Hostnamen in den Dateinamen sich auf die Clients oder Opfer beziehen, die von TEMP ins Visier genommen werden. Periskop.

Die Domäne scsnewstoday[.]com wurde auf der US-IP 68.65.123[.]230 gehostet und bis zum 11. Juli 2018 beim Domain-Hosting-Dienst Namecheap registriert. Details zur C2-Domäne wurden erst einen Tag zuvor veröffentlicht , was unserer Ansicht nach die Betreiber von TEMP.Periscope verunsichert haben könnte, was zur Einstellung der Veröffentlichung führte. Leider ist auf das geöffnete Verzeichnis nicht mehr zugegriffen werden kann, was unsere Fähigkeit beeinträchtigte, die genaue Natur der drei Dateien mit dem Hostnamen WIN-AB2I27TG6FK zu verstehen.

Laut Branchenberichten hat die chinesische Spionagegruppe TEMP. Periscope führt seit mindestens 2013 groß angelegte Phishing-, Intrusion-, Remote-Access-Trojaner- (RAT) und Datenexfiltrationsaktivitäten durch. Das Targeting konzentrierte sich in erster Linie auf maritime Unternehmen in verschiedenen Branchen, darunter Ingenieurwesen, Schifffahrt und Transport, Fertigung, Verteidigung, Regierungsbehörden und Forschungsuniversitäten. Die Gruppe hat sich jedoch auch auf professionelle und beratende Dienstleistungen, die High-Tech-Industrie, das Gesundheitswesen sowie Medien und Verlagswesen konzentriert.

Ursprungs-IP für Spearphish 193.180.255[.]2

Diese IP erschien in den E-Mail-Header-Informationen als X-Forwarded-For-IP, was darauf hindeutet, dass es sich um die ursprüngliche IP-Adresse des Absenders des Spearphishing handelte. WHOIS-Registrierungsdaten haben ergeben, dass 193.180.255[.]2 auf Privat Kommunikation Sverige AB registriert ist, was der vollständige Firmenname von PrivateVPN ist, einem beliebten kommerziellen VPN-Dienst. Das Unternehmen gibt an, OpenVPN über die Protokolle TCP/UDP, L2TP, IPSEC, PPTP und IKEv2 zu unterstützen.

Recorded Future identifizierte drei VPN-Verbindungen mit der Adresse 193.180.255[.]2 IP zwischen 30. Juni und 1. Juli 2018. Alle drei Verbindungen erfolgten über UDP 500 (IKE/IKEv2) und kamen von der IP 103.198.138[.]187 aus Bangladesch.

Zusätzlich wurde zwischen dem 3. und 10. Juli 2018 193.180.255[.]2 stellte SSH- (TCP 22), NetBios- (TCP 139) und Microsoft SMB-Verbindungen (TCP 445) zum bösartigen SMB-Anmeldeinformationssammler C2 82.118.242[.]243 her. Interessanterweise fanden diese Verbindungen während des siebentägigen Zeitfensters statt, innerhalb dessen der Spearphishing-Angriff versendet wurde.

Historisches Angriffsziel eines britischen Maschinenbauunternehmens durch TEMP.Periscope

Vor diesem Versuch im Juli war dasselbe britische Maschinenbauunternehmen bereits im Mai 2017 Ziel eines Angriffs gewesen. Diese Kampagne nutzte den ETERNALBLUE-Exploit und eine einzigartige DNS-Tunneler-Hintertür. Der beim Angriff verwendete DNS-Tunneler war für die Kommunikation mit einer Subdomäne von thyssenkrupp-marinesystems[.]org konfiguriert. Bei der Domain handelte es sich offensichtlich um eine Täuschung gegenüber dem deutschen Rüstungskonzern ThyssenKrupp Marine Systems, der auf Schiffsbau spezialisiert ist. Zusätzlich zum Hosting der gefälschten Domain bietet HostSailor VPS IP 185.106.120[.]206 mit Sitz in den Niederlanden hostete auch ein offenes Verzeichnis mit Malware und Tools für den Bedrohungsakteur, nicht unähnlich dem TEMP.Periscope scsnewstoday[.]com C2 und offenes Verzeichnis eingerichtet.

Recorded Future Analyse der gefälschten Domain ergab, dass dieser Server den SeDll-Javascript-Loader SHA256 hostete: 146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4 , der im August 2017 von Leviathan (auch bekannt als TEMP. Periscope), um eine weitere Javascript-Backdoor, AIRBREAK, auszuführen. Entscheidend ist, dass die erste Erwähnung von Leviathan als chinesischer Bedrohungsakteur im Oktober 2017 erfolgte, was TEMP bedeutet. Periscope nutzte die gleiche Infrastruktur, um das britische Ingenieurbüro sechs Monate zuvor ins Visier zu nehmen.

Im November 2017 wurde ein weiterer Spearphishing-Angriff, der die Sicherheitslücke CVE-2017-11882 im Microsoft Equation Editor ausnutzte, an das britische Ingenieurunternehmen gesendet. Dieser Angriff lieferte eine Cobalt Strike-Nutzlast.

Schlussfolgerungen und Ausblick

Der Spear-Phishing-Versuch hat eine Reihe von TTPs aufgedeckt, die mit den jüngsten Aktivitäten verschiedener Bedrohungsakteure in Verbindung stehen: APT28, Dragonfly und TEMP.Periscope. Wir haben die wichtigsten TTPs, die bei diesem Angriff beobachtet wurden, in chronologischer Reihenfolge aufgelistet, um auf die Wahrscheinlichkeit aufmerksam zu machen, dass Techniken aus öffentlich zugänglichen Berichten über diese TTPs kopiert wurden. Diese sind in der folgenden Tabelle zusammengefasst:

Zusammenfassung der bei Angriffen verwendeten beobachteten TTPs und Links zu ähnlichen APT-TTPs.

Da die meisten der aufgeführten TTPs APT28, Dragonfly und TEMP.Periscope bereits veröffentlicht wurden, gehen wir davon aus, dass es für die beobachtete Aktivität drei wahrscheinliche Szenarien gibt:

• Verantwortlich dafür war ein russischer Bedrohungsakteur, der sich die TTPs von TEMP.Periscope ausgeliehen hat.
• TEMP.Periscope war dafür verantwortlich und hat TTPs russischer Bedrohungsakteure übernommen.
• Verantwortlich war ein anderer Bedrohungsakteur, der TTPs der russischen Gruppen und TEMP.Periscope verwendete.

Um zu beurteilen, welche der drei oben genannten Hypothesen unsere Beobachtungen am besten erklärt, haben wir die in diesem Bericht aufgeführten gesammelten Beweise ausgewertet.

Erstens sind wir sicher, dass der Angreifer die IP 193.180.255[.]2 verwendet hat. als VPN-Endpunkt zum Senden des Spearphishings, da die IP-Adresse zum schwedischen VPN-Dienst PrivateVPN aufgelöst wird. Wir sind außerdem sicher, dass das Gerät, das den Spearphish gesendet hat, mit dem Hostnamen WIN-AB2I27TG6FK verknüpft war. Darüber hinaus können wir feststellen, dass dieser Hostname im Dateinamen mehrerer Dateien verwendet wurde, die auf einem bekannten TEMP.Periscope C2 gehostet wurden, das über ein offenes Verzeichnis verfügte. Wie bereits zuvor in diesem Bericht erläutert, glauben wir, dass der Absender des Spearphishings, WIN-AB2I27TG6FK, wahrscheinlich der Hostname des offenen Verzeichnisses TEMP.Periscope ist, das unter scsnewstoday[.]com gehostet wird.

Der Spearphishing-Angriff wurde am 6. Juli 2018 versendet. Nur wenige Tage später berichtete FireEye über eine TEMP.Periscope-Kampagne, die auf die kambodschanischen Wahlen im Juli 2018 abzielte und das auf scsnewstoday[.]com gehostete offene Verzeichnis als C2 verwendete. Der Bericht stellte fest, dass dieselbe Infrastruktur wahrscheinlich mindestens seit April 2017 aktiv war.

Zweitens ist der "file://"-Pfad, der in der Spearphish-Verknüpfung mit dem C2 82.118.242[.]243 wurde entwickelt, um Anmeldeinformationen über SMB zu stehlen. Diese Technik wurde im März 2018, fast vier Monate vor dem beobachteten Angriff, vom US-CERT als Dragonfly Threat Actor TTP öffentlich dokumentiert.

Der beobachtete Hostname auf der 82.118.242[.]243 Die IP war WIN-PRH492RQAFV, die, wie wir herausfanden, in einem gegabelten Responder-Skript auf GitHub fest codiert war. Einem im August 2017 veröffentlichten Bericht zufolge wurde das ursprüngliche Responder-Skript zuvor von einem anderen russischen Bedrohungsakteur, APT28, verwendet.

Zeitleiste ausgewählter APT28-, Dragonfly- und TEMP.Periscope-TTP-Offenlegungen und -Aktivitäten.

AUSHILFE. Periscope wird von der Forschungsgemeinschaft mindestens seit Oktober 2017 aktiv verfolgt – zwei Monate nachdem FireEye im August 2017 die Verwendung von Responder durch APT28 bekannt gegeben hatte.^{arabische Ziffer} Seitdem gab es eine Flut von Berichten über TEMP. Periscope-Aktivität im Jahr 2018 mit Kampagnen gegen amerikanische und europäische Schifffahrtsunternehmen und die kambodschanische Regierung. Wir sollten hier anmerken, dass der von uns beobachtete Spearphish auch an ein E-Mail-Konto gesendet wurde, das den Namen eines in Kambodscha ansässigen Journalisten enthielt, und von einem Konto gesendet wurde, das einen australischen Journalisten fälschte, der zuvor über kambodschanische Themen berichtet hatte.

Daher ist es plausibel, dass TEMP.Periscope, nachdem der Zeitplan für die Entwicklung der russischen Werkzeuge vor der Offenlegung der TEMP.Periscope-Kampagnen öffentlich gemacht wurde, seine TTPs angepasst hat, um entweder Zuordnungsbemühungen zu erschweren oder einfach Techniken zu verwenden, die man für effektiv hielt.

Die Überschneidungen in der Infrastruktur mit scsnewstoday[.]com Auch die C2-Domäne ist von entscheidender Bedeutung. FireEye meldete nur wenige Tage nach dem Versand des Spearphishing-Angriffs an das britische Ingenieurunternehmen öffentlich, dass die Domäne von TEMP.Periscope verwendet wird. Daher ist es höchst unwahrscheinlich, dass ein anderer Bedrohungsakteur die C2-Domäne kompromittiert haben könnte. Darüber hinaus unterstreicht die Tatsache, dass TEMP.Periscope das britische Maschinenbauunternehmen seit mindestens Mai 2017 längerfristig im Visier hatte, die Hartnäckigkeit der Gruppe bei ihren Versuchen, Zugriff zu erlangen.

Auf Grundlage der in diesem Bericht dargelegten verfügbaren Daten und Beweise geht Recorded Future mit mittlerer Sicherheit davon aus, dass der chinesische Bedrohungsakteur TEMP.Periscope TTPs anderer Bedrohungsgruppen wiederverwendet hat, um das britische Ingenieurunternehmen ins Visier zu nehmen und sich so wahrscheinlich Zugang zu dessen vertraulichen und proprietären Technologien und Daten zu verschaffen. TEMP.Periscope hat die Fähigkeit unter Beweis gestellt, seine TTPs schnell anzupassen, um von anderen Gruppen wie APT28 und Dragonfly zu lernen, entweder um die Erfolgschancen beim Zugriff auf das Netzwerk des Opfers zu erhöhen oder um Zuordnungsversuche zu verschleiern.

Recorded Future geht davon aus, dass TEMP.Periscope weiterhin auf Organisationen in den Hightech-Verteidigungs- und Ingenieurssektoren abzielt. Das strategische Erfordernis Chinas, Hochtechnologien zu entwickeln, insbesondere im Schiffsbau, bleibt weiterhin ein Schwerpunkt, da China bestrebt ist, das Gebiet im Südchinesischen Meer zu beherrschen. Wir gehen davon aus, dass TEMP.Periscope auch weiterhin Standard-Malware einsetzen wird, da diese noch immer großen Erfolg hat und ihre Nutzung relativ kostengünstig ist. Sie werden weiterhin aktuelle Schwachstellen beobachten und öffentlich bekannt gewordene Techniken einsetzen, um sich Zugang zu den Netzwerken der Opfer zu verschaffen.

Schließlich ist Recorded Future davon überzeugt, dass die Bedrohungsakteure sich gegenseitig aktiv nachahmen, indem sie Veröffentlichungen und Datenquellen überwachen, um einerseits ihre Infrastruktur zu schützen, andererseits aber auch die von konkurrierenden Akteuren verwendeten Techniken zu beobachten. Wir gehen davon aus, dass die Gegner auch weiterhin falsche Flaggen platzieren werden, entweder mit technischen Mitteln (wie bei der „Olympic Destroyer“-Kampagne) oder durch Technikemulation. Da sich die Mittel zur Erkennung drastisch verbessert haben, spielt die öffentliche Identifizierung von Code-Überschneidungen und die Zuordnung von TTPs gut koordinierten Operationen in die Hände, die nun bestenfalls zu unklaren Zuordnungsergebnissen führen können. Aufgrund der großen Menge an öffentlicher Berichterstattung zu diesen Themen können die in einem Bericht genannten Beispiele und Techniken nun rasch in neue oder laufende Kampagnen übernommen werden. Durch diese Verschleierung können gezielte Kampagnen besser mit dem Lärm der Öffentlichkeit verschmelzen und versuchen, die Grenzen zwischen den gegnerischen Gruppen zu verwischen.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Organisationen die Durchführung der folgenden Maßnahmen zur Abwehr von TEMP.Periscope-Versuchen, Anmeldeinformationen zu stehlen, um Netzwerkzugriff zu erhalten:

• Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.
• Fügen Sie die bereitgestellten Snort-Regeln in Anhang B in IDS- und IPS-Geräte ein, um Versuche des Diebstahls von SMB-Anmeldeinformationen zu erkennen. Verwenden Sie gegebenenfalls auch die bereitgestellten Bro-Abfragen in Anhang B, um in Ihrem Netzwerk nach Anzeichen der in diesem Bericht beschriebenen TEMP.Periscope-TTPs zu suchen.
• Verwenden Sie die API von Recorded Future, um die in diesem Bericht aufgeführten Indikatoren (Anhang A) in Ihre Endpoint Detection and Response (EDR)-Plattform zu importieren.
• Konfigurieren Sie die Endpunkterkennung und den Antwortverkehr, um Verbindungen zu Indikatoren in Anhang A zu melden und zu blockieren.
• Nutzen Sie die bereitgestellte Yara-Regel in Anhang C, um Ihr Netzwerk nach Beweisen für den Spearphishing-Versand an Ihr Unternehmen zu durchsuchen.
• Überwachen und beschränken Sie den SMB-Verkehr in Ihrem Netzwerk, insbesondere externe Authentifizierungsversuche über SMB.

Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.

¹P4wnP1 ist eine hochgradig anpassbare USB-Angriffsplattform, die auf einem Raspberry Pi Zero-Computer basiert.

² F-Secure veröffentlichte im August 2016 eine Studie zu seinen Untersuchungen zum NanHaiShu RAT, das seitdem TEMP.Periscope (Leviathan) zugeschrieben wird.