Im Cyber-Brief des Bundesamts für Verfassungsschutz 01/2022 vom Januar 2022 wurde eine anhaltende Cyberangriffskampagne der Gruppe APT27 gegen deutsche Wirtschaftsunternehmen dokumentiert. Diese Gruppe, auch bekannt als "Emissary Panda" oder "Iron Tiger", ist für ihre gezielte Cyberspionage bekannt. Neuere Erkenntnisse zeigen, dass APT27 weiterhin aktiv ist und ihre Angriffe verfeinert hat, wobei insbesondere die Schadsoftwarevarianten SYSUPDATE und RSHELL verwendet werden.
SYSUPDATE fungiert als fortschrittliches Remote-Access-Tool (RAT), das es Angreifern ermöglicht, Systeme aus der Ferne zu kontrollieren und Daten zu exfiltrieren. RSHELL hingegen wird hauptsächlich für das Initialisieren von Shell-Sitzungen verwendet, wodurch Angreifer direkten Zugriff auf die Kommandoschnittstelle der infizierten Systeme erhalten.
Diese Schadsoftwarevarianten sind besonders gefährlich, da sie oft durch legitime Software oder Dienste getarnt sind, was ihre Entdeckung erschwert. Es wurden fortschrittliche Techniken wie Code-Obfuscation und Anti-Debugging verwendet, um die Analyse der Malware zu erschweren. Berichte von Trend Micro und anderen Sicherheitsexperten zeigen, dass die Linux-Version von SYSUPDATE ähnliche Funktionalitäten wie die Windows-Version bietet, was die Bedrohung für plattformübergreifende Angriffe erhöht.
Zusätzlich zu den bereits bekannten Aktivitäten von APT27 gibt es aktuelle Berichte über Zero-Day-Angriffe auf Cisco NX-OS-Systeme, die dieser Gruppe zugeschrieben werden. Laut einem Bericht auf SecurityAffairs haben chinesische Hacker, die vermutlich APT27 angehören, Zero-Day-Schwachstellen in Cisco NX-OS ausgenutzt, um sich Zugang zu Netzwerken zu verschaffen und sensible Daten zu stehlen. Diese Kampagnen wurden hauptsächlich gegen Unternehmen in Europa und Asien durchgeführt und nutzen oft Phishing-Techniken, um initialen Zugriff zu erlangen.
Unternehmen sollten ihre IT-Infrastruktur auf Anzeichen der Schadsoftware SYSUPDATE und RSHELL überprüfen. Dies umfasst die Analyse von Logdateien, Netzwerkverbindungen und die Verwendung der bereitgestellten YARA-Regeln zur Detektion der Malware.
Um die Erkennung von SYSUPDATE und RSHELL zu erleichtern, stellen wir die folgenden YARA-Regel zur Verfügung: YARA_rule.txt (cloud.landbw.de)