Ein neuer Bericht von Palo Alto Networks Unit 42 hat eine hartnäckige Kampagne enthüllt, die einem mit China verbundenen Schauspieler zugeschrieben wird, der sich auf hochwertige Organisationen in Süd-, Südost- und Ostasien konzentriert. Nach Angaben der Forscher umfassen die Ziele sensible Sektoren wie Luftfahrt, Energie, Regierungsbehörden, Sicherheitskräfte, Pharmaunternehmen, Technologieunternehmen und Telekommunikationsbetreiber, die das Profil einer Operation mit klaren geostrategischen und sicherheitsrelevanten Auswirkungen zeichnen.
Die Gruppierung, getaggt von Unit 42 als CL-UNK-1068- wo "CL" "Cluster" und "UNK" unbekannte Motivation anzeigt - verwendet eine Kombination von benutzerdefinierten Tools, modifizierten Open Source-Diensten und legitimen System binär (LOLBINS) in kompromittierten Umgebungen zu bleiben. Die eigene Analyse des Forschungsteams beschreibt eine Reihe von Taktiken, die sowohl Beharrlichkeit als auch Stealth erleichtern, mit ausreichenden Beweisen für Autoren, die moderates bis hohes Vertrauen dass das Hauptziel Cyberespionage ist. Hier können Sie den vollständigen Bericht von Unit 42 lesen: Einheit 42 - CL-UK-1068.
Wie bei der verwendeten Technologie vermischen Angreifer Web-Shells, die als Godzilla und ANTSWORD mit Linux-Hintertüren als Xnote bekannt sind, sowie Komponenten wie Fast Reverse Proxy (FRP) für die Zugriffspflege. Xnote ist insbesondere nicht neu für das Bedrohungs-Ökosystem; es wurde in der Natur seit der Mitte der Dekade entdeckt und ist mit anderen Kampagnen verbunden. Für den technischen Kontext auf Xnote und seine Früherkennung, überprüfen Sie diese Analyseressource: Dr. Web - Xnote, und für Beispiele von Multi-Level-Kampagnen im Zusammenhang mit Backdoors, siehe Trend Micro Analyse der Erde Berberoka: Trend Micro - Erde Berberoka.
Das von Forschern beschriebene Intrusionsmuster beginnt mit der Ausnutzung von Webservern zur Implementierung von Web Shells und von dort seitlich innerhalb des Netzwerks. Einmal im Inneren sucht die Bedrohung bestimmte Dateien, die Anmeldeinformationen oder sensible Informationen enthalten können: Konfigurationsdateien und binäre Dateien, die mit Webanwendungen, Browserhistorie und Marker, Tabellenkalkulationen und Backups von MS-SQL (.bak) Datenbanken verbunden sind. Die Angreifer zeigen ein besonderes Interesse an den Inhalten des IIS-Webverzeichnisses (c:\ inetpub\ wwwroot), wo sie normalerweise Dateien erfassen, die das Klettern oder die Erfassung von Anmeldeinformationen erleichtern.
Eines der markantesten Details der Kampagne ist die Exfiltrationstechnik ohne direkte Dateiübertragung: Operatoren komprimieren mit WinRAR die relevanten Daten, kodieren Sie die resultierende Datei in Base64 mit dem zertutilen System binär und dann drucken Sie diese Inhalte auf dem Bildschirm mit dem Typbefehl über die Webhülle. Durch das Drehen der codierten Datei als Text in die Shell-Ausgabe vermeiden sie das Hochladen von Dateien aus dem kompromittierten Server und die Deaktivierung von Steuerungen, die direkte Übertragungen blockieren, eine rudimentäre aber effektive Lösung angesichts des Zugriffs, den sie auf die Remote-Konsole hatten.
Auch die Präzision bei der Verwendung von legitimen Werkzeugen ist bemerkenswert. Die Angreifer haben Python executables ("python.exe" und "pythonw.exe") missbraucht, um ide-loading DLL-Techniken durchzuführen und bösartige DLL undercover auszuführen; unter den beobachteten Belastungen ist FRP für persistenten Zugriff, Dienstprogramme wie PrintSpoofer und ein eigener Scanner in Go namens ScanPortPlus entwickelt. Diese Mischung aus legitimen und personalisierten Komponenten erschwert die Erkennung von traditionellen Lösungen, die einen Teil Ihrer Strategie auf die Blockierung unbekannter Ausführbarer stützen.
Vor der Anerkennung und Kartierung der Umwelt war die Gruppe nicht auf öffentliche Instrumente beschränkt: seit 2020 nutzte sie eine . NET Dienstprogramm entwickelt von sich als SuperDump, um Host-Informationen zu sammeln. Neuere Intrusionen zeigen einen Übergang zu Batch-Skripten, die die Katalogisierung des lokalen Systems automatisieren - eine Evolution, die die Erkennung vor der Exfiltration oder Kletterphase optimieren soll.
Die Entfernung von Anmeldeinformationen wurde systematisch und vielfältig: Speicher-Dumping-Techniken mit Mimikatz, Haken an das Anmelde-Subsystem mit LsaRecorder-ähnlichen Werkzeugen, die Anrufe wie LsaApLogonUserEx2 stören, und Entfernung von Hashes und Artefakte von Linux-Systemen mit forensischen Diensten wie DumpItForLinux und Volatilitätsrahmen. Um die in Windows missbrauchte Schnittstelle besser zu verstehen, dokumentiert Microsoft die LsaApLogonUserEx2 Funktion hier: LsaApLogonUserEx2 - Microsoft Docs.
Darüber hinaus wurden Tools beobachtet, um Passwörter zu wiederherstellen, die von administrativen Diensten gespeichert wurden, wie zum Beispiel die von Microsoft SQL Server Management Studio (SSMS). Diese Artefakte-Sammlungspraktiken zielen darauf ab, dauerhafte Anmeldeinformationen zu erhalten, die Seitenbewegungen und Zugriff auf sensible Daten ermöglichen, ohne dass ständig neue Sicherheitslücken ausgenutzt werden müssen.
Unit 42 betont, dass die Kampagne auf einer Open Source-Ressourcenbasis, Community-shared Malware und einfache Skripte montiert wurde, so dass sie verdeckte Operationen für lange Zeiträume halten und sich an das Ziel und das angegriffene Betriebssystem anpassen. Die Kombination von gemeinsamen Komponenten und Punkt Anpassungen bietet den Angreifer Vielseitigkeit und Widerstand zu Punkt Blöcke.
Aus Risikoperspektive macht die geografische und sektorale Konzentration der Ziele zusammen mit dem Fokus auf den Diebstahl von Anmeldeinformationen und die Exfiltration kritischer Informationen die Spionagehypothese am glaubwürdigsten; doch warnen Forscher, dass ein klassischer krimineller Hintergrund nicht vollständig ausgeschlossen werden kann. Der Einsatz gemeinsamer Tools und einfacher Techniken eröffnet auch die Möglichkeit für andere Copycat-Akte oder Gruppen mit unterschiedlichen Motivationen, Teile des Toolkits wiederzuverwenden.
Für Sicherheitsteams und IT verantwortlich, die zu beobachtenden Signale umfassen ungewöhnliche Ausführungen von zertutilen oder legitimen Binaries in atypischen Kontexten, Anwesenheit von Web Shells auf öffentlichen Web-Server-Routen, anormale Aktivität in Python-Prozessen von Webservern und Zugriffsmustern zu Konfigurationsdateien und Backups. Darüber hinaus profitiert die Früherkennung von der kontinuierlichen Überwachung der Dateiintegrität, der Segmentierung von Netzen, der Implementierung von Multifaktorauthentifizierung und der aggressiven Rotation von administrativen Anmeldeinformationen.
Wenn Sie die technische Methodik und die IoCs, die Unit 42 veröffentlicht, vertiefen möchten, ist der ursprüngliche Bericht der beste Ausgangspunkt und bietet Details für Antwort- und Nachrichtentechnik: Einheit 42 - CL-UK-1068. Um mehr über die Geschichte von Backdoors wie Xnote und verwandten Kampagnen zu erfahren, überprüfen Sie die historische Erkennungsanalyse: Dr. Web - Xnote, und um Beispiele zu sehen, wie Multilevel-Kampagnen mit Backdoors und Anmelde-Diebstahl funktionieren, bietet Trend Micros Arbeit auf der Erde Berberoka nützlichen Kontext: Trend Micro - Erde Berberoka.
Kurz gesagt, wir stehen vor einer Operation, die das Haus und die Gemeinschaft vereint, um anspruchsvolle Ziele zu erreichen: kleine Teile, die mit Kriterien zusammengebaut werden, können große Lecks verursachen. Die Lektion für kritische Organisationen ist klar: Es reicht nicht aus, gegen die letzten Ausbeutungen zu schützen; wir müssen auch den Missbrauch legitimer Gewinne und die subtilsten Muster der Anerkennung und Exfiltration überwachen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...