Chinesische Hacker nutzen gestohlenes VPN-Zertifikat
SentinelLabs hat mutmaßlich chinesische Malware und Infrastruktur von chinesischen Hacker identifiziert. Diese sind potenziell an mit China assoziierten Geschäften beteiligt, welche auf den südostasiatischen Glücksspielsektor ausgerichtet sind. Die Bedrohungsakteure nutzen Adobe Creative Cloud, Microsoft Edge und McAfee VirusScan, die anfällig für DLL-Hijacking sind, um Cobalt Strike Beacons einzusetzen.
Es wurde verwandte Malware beobachtet, die die Signatur eines wahrscheinlich gestohlenen Code-Signing-Zertifikats nutzt. Indizien deuten auf die mit China verbündete Bronze Starlight-Gruppe hin; eine konkrete Zuordnung bleibt jedoch schwierig.
Chinesische Hacker machen gegen Glückspiel mobil
Nach Chinas hartem Durchgreifen gegen die Glücksspielindustrie in Macao ist der südostasiatische Glücksspielsektor zu einem Brennpunkt für die Interessen des Landes in der Region geworden, insbesondere für die Datensammlung zur Überwachung und Bekämpfung entsprechender Aktivitäten in China.
Es wurde Schadsoftware und Infrastruktur beobachtet, die wahrscheinlich mit den auf China ausgerichteten Aktivitäten in diesem Sektor zusammenhängen. Die analysierte Malware und Infrastruktur steht in Zusammenhang mit den bei der Operation ChattyGoblin beobachteten Indikatoren und ist wahrscheinlich Teil desselben Aktivitätsclusters. Operation ChattyGoblin ist der Name, den ESET für eine Reihe von Angriffen chinesischer Akteure auf südostasiatische Glücksspielunternehmen mit trojanisierten Comm100- und LiveHelp100-Chat-Anwendungen verwendet.
Die Angaben zu den Zielen, der Malware und der C2-Infrastruktur deuten auf frühere Aktivitäten hin, die von Dritten mit der von China unterstützten Bronze Starlight-Gruppe (auch bekannt als DEV-0401 oder SLIME34) in Verbindung gebracht wurden. Dabei handelt es sich um eine mutmaßliche chinesische Ransomware-Gruppe, deren Hauptziel eher in der Spionage als in finanziellen Gewinnen zu bestehen scheint und die Ransomware als Mittel zur Ablenkung oder Fehlattribution einsetzt. Team T5 hat auch über die politisch motivierte Beteiligung von Bronze-Starlight an der Bekämpfung der südostasiatischen Glücksspielindustrie berichtet.
Trotz der beobachteten Indikatoren bleibt eine genaue Zuordnung der Aktivitäten schwierig. Das chinesische APT-Ökosystem zeichnet sich durch eine umfangreiche gemeinsame Nutzung von Malware und Infrastruktur-Management-Prozessen zwischen Gruppen aus, was eine zuverlässige Clusterbildung auf der Grundlage der aktuellen Sichtbarkeit erschwert. Die aktuelle Analyse deckt historische Artefakte auf, die Konvergenzpunkte zwischen der Bronze Starlight-Gruppe und anderen in China ansässigen Akteuren darstellen, was die Komplexität des chinesischen Bedrohungsökosystems, das aus eng miteinander verbundenen Gruppen besteht, verdeutlicht.