Das Symantec Threat Hunter Team beschreibt in einem aktuellen Bericht die anhaltende Angriffskampagne eines neuen, bislang unbekannten Akteurs, den es unter dem Namen „Grayling“ führt.
Die Angriffe begannen im Februar 2023 und dauerten nach aktuellem Stand mindestens bis Mai 2023 an, wobei mit einem Fortdauern der Aktivitäten gerechnet werden muss. Bislang wurde eine Vielzahl von hauptsächlich taiwanesischen Organisationen aus den Bereichen Produktion, IT und Biomedizin angegriffen. Allerdings konnten auch Ziele u.a. in Vietnam und den USA ausgemacht werden.
Bei den Angriffen verwendet die Gruppierung eine unverwechselbare DLL-Sideloading-Technik, bei der ein spezieller Decryptor zum Einbringen der Payloads genutzt wird. Bei den Payloads handelt es sich um bekannte Tools und Frameworks wie Cobalt Strike, NetSpy und Havoc. Durch das Verwenden bereits bekannter Malware optimieren die Angreifer nicht nur ihre Arbeitsweise, sie erschweren dadurch auch eine genaue Attribution. Auch eine ältere Sicherheitslücke (CVE-2019-0803) wurde durch die Angreifer ausgenutzt. Bislang dienten die Angriffe wahrscheinlich nur dem Sammeln von Informationen über die betroffenen Organisationen. Ein Datenabfluss konnte nicht festgestellt werden.
Zur Abwehr von DLL-Sideloading-Angriffen durch Anwender ist ein gutes und rechtzeitiges Patchmanagement erforderlich. Zudem empfiehlt sich zur Detektion das Monitoring von neu angelegten und modifizierten Dateien sowie von Prozessen und deren nachgeladenen Modulen[1]. Das Symantec Threat Hunter Team stellt in seinem Report eine Liste mit IoCs zu der beschriebenen Kampagne zur Verfügung[2].
[1] https://attack.mitre.org/techniques/T1574/002/
[2] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/grayling-taiwan-cyber-attacks