Militärspionage: Bitdefender Labs enttarnen APT „Unfading Sea Haze“

China Militärspionage

Militärspionage: Bitdefender Labs enttarnen APT „Unfading Sea Haze“

Die Experten der Bitdefender Labs veröffentlichen detaillierte Untersuchungen eines neuen APT (Advanced Persistent Threat) mit dem Namen Unfading Sea Haze. Die Analyse legt nahe, dass die Gruppe hinter Unfading Sea Haze mit chinesischen Interessen verbunden ist und es auf Regierungen, Militär und andere im Südchinesischen Meer tätige Organisationen abgesehen hat.

Militärspionage
Dies ist ein cleveres Beispiel für einen dateilosen Angriff, der ein legitimes Tool ausnutzt: MSBuild.exe. Bei diesem Angriff wird ein neuer MSBuild-Prozess von einem entfernten Directory gestartet. So sucht MSBuild nach einer Projektdatei auf diesem entfernten Server. Wenn eine Projektdatei gefunden wird, führt MSBuild den darin enthaltenen Code vollständig im Speicher aus und hinterlässt keine Spuren auf dem Rechner des Opfers.

Das Hauptziel von Unfading Sea Haze ist Spionage und die Ausnutzung unsicherer Anmeldeinformationen und unzureichender Patching-Praktiken auf ungeschützten Geräten und Webdiensten. Diese nutzt die Gruppe, um sehr gezielte Angriffe auf für sie interessante Organisationen zu starten. Hierfür kommt eine maßgeschneiderte Malware zum Einsatz sowie ausgeklügelte Techniken wie DLL-Sideloading, Fileless-Angriffe und ein modifiziertes Gh0st-RAT-Framework. So nistet sich die Gruppe unbemerkt in Systemen ein und bewegt sich anschließend lateral. Dabei geht die Gruppe äußerst professionell vor – und hatte es bis zur heutigen Enthüllung durch die Bitdefender Labs geschafft, seit 2018 unentdeckt zu bleiben.

Militärspionage nimmt weiter zu

Die Experten weisen in dieser Region tätige Organisationen darauf hin, wachsam zu sein und die in dem von Bitdefender Labs zusammengestellten Report aufgelisteten IOCs zu beachten, um sich vor der Gruppe zu schützen.

Der vollständige Report steht hier kostenlos zur Verfügung.

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
Marktplatz IT-Sicherheit Skip to content