Chinese aanvalsgroep viel Russische, Belarussische en Oekraïense doelen aan

Defensiebedrijven en publieke instellingen in een Belarus, Rusland en Oekraïne evenals Afghanistan zijn in januari van dit jaar doelwit geworden van een reeks gerichte cyberaanvallen. De aanvallen waren het werk van TA428, een Chinees-sprekende aanvalsgroep.

Dit meldt beveiligingsbedrijf Kaspersky. De aanvallers wisten bij een flink aantal bedrijven binnen te dringen en in sommige gevallen de IT-infrastructuur van partijen over te nemen. Uit analyse van Kaspersky blijkt dat cyberspionage vermoedelijk het doel was van de aanvallen.

Phishing

De aanvallers maakte bij hun aanvallen gebruik van op maat gemaakte phishingmails. In sommige gevallen werd hierbij gebruik gemaakt van informatie over de organisatie die niet openbaar is. Kaspersky stelt dat de aanvallers mogelijk dan ook voorwerk hebben gedaan en via eerdere aanvallen op organisaties of werknemers informatie hebben verzameld.

De phishingmails bevatten Microsoft-documenten met malafide code, waarbij de kwetsbaarheid CVE-2017-11882 wordt uitgebuit. Deze kwetsbaarheid stelt aanvallers in staat code uit te voeren op systemen zonder tussenkomst van een gebruiker. Bij deze specifieke aanval ging het daarbij om de hoofdmodule van de malware PortDoor. Eenmaal op het systeem genesteld verzamelt PortDoor informatie over het besmette systeem en stuurt deze terug naar een command & control (C&C)-server. De aanvallers hebben PortDoor vervolgens gebruikt om aanvullende malware te installeren op getroffen systemen.

Backdoors

Opvallend is ook dat de aanvallers vijf backdoors tegelijk gebruikte. Zo wilden zij vermoedelijk redundante communicatiekanalen met geïnfecteerde systemen creëren voor het geval een van de malwarevarianten werd ontdekt en verwijderd.

Meer informatie is hier beschikbaar.