Beobachtungen
Das IT-Sicherheitsunternehmen Symantec berichtet in einem aktuellen Beitrag über einen Cyberangriff, bei dem ein Cyberakteur ein chinesisches Spionage-Tool mit einem Ransomware-Angriff kombiniert hat. Der Angreifer verwendete hierbei eine Variante des PlugX-Tools, das häufig mit staatlich gesteuerten chinesischen APT-Gruppen in Verbindung gebracht wird. Nach der Infektion wurde das Opfer mit einem Ransomware-Programm verschlüsselt und Lösegeld erpresst.
Hintergrund und Methoden
Der Angriff begann mit dem Ausnutzen einer bekannten Sicherheitslücke in der Palo Alto Networks PAN-OS Software, wodurch dem Angreifer der Zugriff auf die Systeme des Opfers ermöglicht wurde. Im Anschluss wurde das Spionage-Tool PlugX eingesetzt, welches als Remote-Access-Tool (RAT) bekannt ist und bereits in der Vergangenheit von verschiedenen chinesischen APT-Gruppen verwendet wurde. Der Einsatz dieses Schadprogramms ermöglichte es dem Angreifer, die vollständige Kontrolle über das infizierte System zu erlangen und sich lateral durch das Netzwerk zu bewegen, um weitere Systeme zu kompromittieren und Daten zu exfiltrieren. Dadurch konnte der Angreifer sensible Informationen sammeln und die Ransomware effektiv verbreiten. Im Anschluss daran wurde die "RA World-Ransomware" eingesetzt, um die Systeme des Unternehmens zu verschlüsseln. Nach der Verschlüsselung der Systeme wurde eine Lösegeldzahlung in Höhe von 2 Millionen US-Dollar gefordert und damit gedroht, die verschlüsselten Daten dauerhaft zu löschen.
Attribution
Symantec konnte bei der Analyse des eingesetzten PlugX-Tools Verbindungen zur chinesischen Cybergruppierung Mustang Panda herstellen. Diese Cybergruppierung ist der Cyberabwehr bereits bekannt. Bei Mustang Panda handelt es sich mutmaßlich um eine staatlich gesteuerte chinesische Cybergruppierung. Als wahrscheinlichstes Szenario vermuten die Symantec-Forscher, dass ein Mitglied dieses Cyberakteurs möglicherweise auf der Suche nach zusätzlichem Einkommen war und daher den Ransomware-Angriff durchführte.
Empfehlungen
Die Recherchen von Symantec decken sich mit Erkenntnissen der Cyberabwehr, wonach sich die Grenzen zwischen Spionageoperationen staatlich gesteuerter Cyberakteure und typischen Cybercrime-Kampagnen zusehends verwischen. Wir haben hierzu bereits im Juni 2024 einen Sicherheitshinweis veröffentlicht. Symantec stellt in seinem Bericht Indicators of Compromise (IOC) zur Verfügung. Wir empfehlen die eigenen Systeme auf eine mögliche Betroffenheit zu überprüfen.