Forscher haben neue Malware entdeckt, die von einer chinesischen Cyberspionagegruppe eingesetzt wird, um den Zugriff auf kompromittierte Netzwerke aufrechtzuerhalten.

Die Kampagne umfasste mehrere zuvor unbekannte Werkzeuge, die den Angreifern dabei halfen, auch nach dem ersten Eindringen aktiv zu bleiben. Ermittler zufolge wurde die Malware entwickelt, um langfristige Informationsbeschaffung zu unterstützen. Dadurch können sich die Betreiber innerhalb kompromittierter Umgebungen bewegen und gleichzeitig das Risiko einer Entdeckung verringern.

Die Entdeckung liefert neue Einblicke in die Art und Weise, wie staatlich unterstützte Bedrohungsakteure ihr Arsenal kontinuierlich erweitern, um Unternehmens- und Cloud-Infrastrukturen ins Visier zu nehmen.

Forscher entdecken neue Persistenzwerkzeuge

Sicherheitsforscher brachten die Aktivitäten mit UNC5221 in Verbindung, einer Bedrohungsgruppe, die mit chinesischen Cyberspionageoperationen in Verbindung steht.

Im Verlauf ihrer Untersuchungen identifizierten die Forscher zwei bislang unbekannte Malware-Familien namens Plenet und AgentPSD sowie die Backdoor Brickstorm. Die Werkzeuge wurden eingesetzt, nachdem die Angreifer Zugriff auf die Umgebungen ihrer Opfer erlangt hatten, und dienten offenbar dazu, einen dauerhaften Zugang aufrechtzuerhalten.

Im Gegensatz zu Ransomware-Angriffen, die auf einen schnellen finanziellen Gewinn abzielen, legen Spionagekampagnen häufig Wert auf unauffälliges Vorgehen. Angreifer können sich über Monate hinweg in Netzwerken aufhalten, während sie sensible Informationen sammeln und Aktivitäten überwachen.

Die neu entdeckte Malware unterstützt dieses Ziel, indem sie den Betreibern hilft, den Zugriff aufrechtzuerhalten und kompromittierte Systeme zu verwalten.

Cloud-Dienste bleiben ein wichtiges Ziel

Die Forscher beobachteten die Bedrohungsakteure in Microsoft-365-Umgebungen, was die wachsende Bedeutung von Cloud-Plattformen in modernen Cyberspionagekampagnen unterstreicht.

Cloud-Dienste speichern große Mengen an geschäftlicher Kommunikation, Dokumenten und Authentifizierungsdaten. Ein erfolgreicher Zugriff kann wertvolle Erkenntnisse liefern und Angreifern gleichzeitig ermöglichen, sich zwischen verbundenen Systemen zu bewegen.

Da Unternehmen ihre Arbeitslasten zunehmend in Cloud-Umgebungen verlagern, passen Bedrohungsgruppen ihre Werkzeuge immer stärker an, um auch außerhalb traditioneller Unternehmensnetzwerke operieren zu können.

Die Kampagne zeigt, dass die Cloud-Infrastruktur inzwischen ein zentrales Schlachtfeld für fortgeschrittene Bedrohungsakteure darstellt.

Malware wurde für unauffällige Angriffe entwickelt

Die Angreifer setzten mehrere Werkzeuge ein, anstatt sich auf eine einzelne Backdoor zu verlassen.

Dieser mehrschichtige Ansatz erhöht die Widerstandsfähigkeit während eines Angriffs. Wenn Verteidiger eine Komponente identifizieren und entfernen, können die Angreifer möglicherweise weiterhin über einen anderen bereits installierten Mechanismus auf die Umgebung zugreifen.

Die Forscher stellten fest, dass die Malware die Kommunikation mit Kommando- und Kontrollservern sowie laufende Operationen innerhalb kompromittierter Systeme unterstützte. Diese Fähigkeiten ermöglichen es Spionagegruppen, Einblick in Zielnetzwerke zu behalten, ohne Störungen zu verursachen, die Aufmerksamkeit erregen könnten.

Solche Methoden sind bei hochentwickelten staatlich unterstützten Akteuren zunehmend verbreitet.

Unternehmen sehen sich anhaltenden Spionagebedrohungen gegenüber

Die Ergebnisse unterstreichen die fortdauernde Gefahr durch fortgeschrittene Cyberspionagegruppen.

Unternehmen sollten Authentifizierungsaktivitäten genau überwachen, den Zugriff auf privilegierte Konten überprüfen und sowohl lokale als auch Cloud-basierte Umgebungen umfassend im Blick behalten. Sicherheitsteams sollten zudem ungewöhnliche Persistenzmechanismen untersuchen, die auf einen unbefugten Zugriff hindeuten könnten.

Da Bedrohungsakteure weiterhin maßgeschneiderte Malware entwickeln, stehen Verteidiger vor wachsenden Herausforderungen, komplexe Angriffe zu erkennen und zu beseitigen, bevor sensible Informationen offengelegt werden.

Fazit

Die chinesische APT-Kampagne verdeutlicht, wie moderne Spionagegruppen Beständigkeit und Tarnung höher bewerten als unmittelbare Störungen. Durch den Einsatz mehrerer Malware-Familien und die gezielte Ausrichtung auf Unternehmensnetzwerke sowie Cloud-Umgebungen können Angreifer über lange Zeiträume hinweg Zugriff behalten und gleichzeitig wertvolle Informationen sammeln.

Die Entdeckung erinnert erneut daran, dass fortgeschrittene Bedrohungsakteure ihre Methoden kontinuierlich weiterentwickeln. Proaktive Überwachung und starke Sicherheitskontrollen bleiben daher für Unternehmen weltweit unverzichtbar.


0 Kommentare zu „Chinesische APT-Malware nutzt neue Werkzeuge, um Netzwerkzugang aufrechtzuerhalten“