Ende Juli 2024 wurde eine Serie gezielter Cyberangriffe auf Dutzende Systeme in russischen Regierungsorganisationen und IT-Unternehmen entdeckt. Diese Angriffe werden mit den chinesischen Hackergruppen APT31 und APT27 in Verbindung gebracht.

Kaspersky, das diese Aktivitäten aufgedeckt hat, nannte die Kampagne „EastWind“. Dabei wurde eine aktualisierte Version der CloudSorcerer-Backdoor eingesetzt, die bereits in einer ähnlichen Spionagekampagne im Mai 2024 gegen russische Regierungsstellen zum Einsatz kam.

Es ist wichtig zu erwähnen, dass die CloudSorcerer-Aktivitäten nicht nur auf Russland beschränkt sind. So verzeichnete Proofpoint im Mai 2024 einen Angriff auf einen in den USA ansässigen Think Tank.

Das EastWind-Toolkit

Die initiale Infektion erfolgt über Phishing-E-Mails, die RAR-Archive enthalten, die nach dem Ziel benannt sind. Diese nutzen DLL-Sideloading, um eine Backdoor über Dropbox auf das System zu bringen, während gleichzeitig ein Dokument geöffnet wird, um den Angriff zu verschleiern.

Diese Backdoor kann auf das Dateisystem zugreifen, Befehle ausführen, Daten exfiltrieren oder weitere Schadsoftware auf das kompromittierte System laden.

Kaspersky berichtet, dass die Angreifer die Backdoor nutzten, um einen Trojaner namens ‚GrewApacha‘ einzuschleusen, der mit APT31 in Verbindung gebracht wird. Die neueste Variante von GrewApacha weist im Vergleich zur letzten analysierten Version von 2023 einige Verbesserungen auf, darunter die Nutzung von zwei Command-and-Control-Servern (C2) anstelle von einem. Die Adressen dieser Server werden in einer Base64-kodierten Zeichenfolge auf GitHub-Profilen gespeichert, von wo aus die Malware sie abruft.

Eine weitere von der Backdoor geladene Malware ist eine aktualisierte Version von CloudSorcerer, die mit VMProtect verschleiert wird, um einer Erkennung zu entgehen.

CloudSorcerer verwendet einen einzigartigen Verschlüsselungsmechanismus, der sicherstellt, dass die Malware nur auf den vorgesehenen Zielsystemen ausgeführt wird. Diese Schutzmaßnahme basiert auf einem speziellen Schlüssel, der bei jedem Systemstart generiert wird und an das jeweilige System gebunden ist.

Neue Varianten und Taktiken

Die neueste Version von CloudSorcerer nutzt öffentliche Profilseiten, um ihre initiale C2-Adresse abzurufen. Anstelle von GitHub werden nun Quora und das russische soziale Netzwerk LiveJournal für diesen Zweck verwendet.

Ein drittes Implantat, das in den EastWind-Angriffen eingesetzt wurde und über CloudSorcerer eingeführt wurde, ist PlugY, eine bisher unbekannte Backdoor.

PlugY zeichnet sich durch hohe Vielseitigkeit in der Kommunikation mit C2-Servern aus und kann Befehle zur Dateioperation, zur Ausführung von Shell-Kommandos, zur Bildschirmaufnahme, zum Keylogging und zur Überwachung der Zwischenablage ausführen.

Die Analyse von Kaspersky zeigt, dass der in PlugY verwendete Code bereits bei Angriffen der APT27-Gruppe gesehen wurde. Auch eine Bibliothek, die zur Kommunikation über das UDP-Protokoll verwendet wird, findet sich nur in DRBControl und PlugX, zwei Malware-Tools, die häufig von chinesischen Bedrohungsakteuren eingesetzt werden.

Schwierige Erkennung und Konsequenzen

Kaspersky weist darauf hin, dass die unterschiedlichen Backdoors, die in den EastWind-Angriffen verwendet wurden, die Erkennung auf einem kompromittierten System erheblich erschweren. Einige Indikatoren, auf die man achten sollte, sind:

  • DLL-Dateien, die größer als 5MB sind und sich im Verzeichnis ‚C:\Users\Public‘ befinden
  • Unsigned ‚msedgeupdate.dll‘ Dateien im Dateisystem
  • Ein laufender Prozess namens ‚msiexec.exe‘ für jeden angemeldeten Benutzer

Die russische Cybersicherheitsfirma kommt zu dem Schluss, dass APT27 und APT31 wahrscheinlich bei der EastWind-Kampagne zusammenarbeiten.

Dieser Fall unterstreicht die komplexen Beziehungen zwischen verbündeten Ländern, die zwar diplomatische Bindungen und gemeinsame strategische Ziele haben, aber dennoch in verdeckte Cyber-Spionageoperationen verwickelt sind, um wertvolle Informationen zu sammeln.