In den letzten Monaten haben Sicherheitsforscher die Aktivität eines hartnäckigen und anspruchsvollen Schauspielers unter dem Spitznamen von Silver Dragon gezeigt. Diese Gruppe ist seit Mitte 2024 mit Intrusionen in Europa und Südostasien verbunden und zeigt Techniken und Werkzeuge, die sie innerhalb des taktischen Regenschirms namens APT41, ein Kollektiv historisch mit Cyber-Epionage-Kampagnen und manchmal mit Operationen mit finanzieller Motivation verbunden. Zur weiteren technischen Analyse veröffentlichte Check Point einen detaillierten Bericht, der diese Operationen und die von der Gruppe verwendeten Infektionsketten dokumentiert: Prüfbericht.
Der von Silver Dragon verwendete Eintragspfad kombiniert die Verwendung von exponierten Servern im Internet mit Phishing-Kampagnen mit schädlichen Anhängen. Einmal im Inneren versuchen Angreifer, mit der legitimen Aktivität des Systems zu mischen: Sie entführen Windows-Dienste und verwenden Payloads, die im Speicher ausgeführt werden, um Spuren auf Festplatte zu vermeiden. Diese Fähigkeit, Prozesse zu verbergen und in gefährdeten Umgebungen zu bestehen, ist ein Siegel von fortgeschrittenen und gut finanzierten Operationen und erklärt, warum die Früherkennung so komplex ist.
Zu den wiederkehrenden Werkzeugen in Intrusionen gehören Cobalt Strike, ein für seine Flexibilität bekanntes Post-Exploitation-Framework, das sowohl von Forschern als auch von schädlichen Akteuren genutzt wird. Silver Dragon verwendet Cobalt Strike-Beacons, um die Kontrolle über infizierte Geräte aufrechtzuerhalten und kombiniert diese Kapazität mit weniger konventionellen Kommunikationsmethoden wie dem DNS-Tunnel, der das Senden und Empfangen von Befehlen ermöglicht, um strengere Netzwerksteuerungen zu vermeiden.
Das Forschungsteam identifizierte drei Hauptinfektionsketten. Zwei von ihnen beginnen von komprimierten Dateien, die Batch-Skripte und Lasten in mehreren Stufen enthalten; einer dieser Routen zeigt die Verwendung eines .NET-Ladegeräts, auf das sie MonikerLoader nennen, verantwortlich für die komprimierende und laufende zweite Stufe direkt im Speicher. In der anderen, ein Ladegerät namens BamboLoader - ein stark opused C + Binär, die als Windows-Service aufgezeichnet wird - defiguriert und dekomprimiert Shellcode, die dann in legitime Prozesse wie Taskhost.ex injiziert. Beide Strecken zeigen operative Überschneidungen und schlagen eine wiederverwendbare Infrastruktur vor, die für Ausweichen und Vielseitigkeit ausgelegt ist.
Der dritte Track ist eine fokussierte Phishing-Kampagne, mit einer höheren Häufigkeit berichtet in Usbekistan, die direkten Zugriff auf Windows (LNK-Dateien) als Decoy verwendet. Diese Verknüpfungen aktivieren Befehle, die PowerShell-Code ausführen, die Extraktion und Ausführung mehrerer Dateien auslösen: ein decoy-Dokument, um den Benutzer abzulenken, eine legitime ausführbare anfällig für Sideload (GameHook.exe), die bösartige DLL, die als BamboLoader fungiert und eine verschlüsselte Datei, die Cobalt Strike Payload enthält. In der Praxis, wenn die Dekoy geöffnet wird, nimmt der Benutzer keine anormale Aktivität wahr, während im Hintergrund das schädliche Werkzeug geladen und ausgeführt wird.
Silver Dragon-Operatoren bleiben nicht allein im ersten Zugriff: Sie setzen eine Batterie von Diensten, um sich seitlich zu bewegen, Informationen zu sammeln und Beharrlichkeit zu erhalten. Dazu gehören Bildschirmüberwachungstools (.NET) zur Erfassung von periodischen Fängen und Cursor-Positionen, SSH-Dienste für Remote-Ausführung und Dateiübertragung sowie eine Backdoor, die mit Google Drive als Befehls- und Steuerkanal interagiert. Diese Backdoor erhöht "Beats" mit grundlegenden Computerinformationen und verwendet Dateierweiterungen als Signboards für verschiedene Arten von Aufgaben, sendet Ergebnisse in Formaten, die die Synchronisation mit dem Cloud-Angreifer-Server erleichtern.
Die Zuschreibung an APT41 basiert nicht nur auf der für die Opfer sichtbaren Geopolitik; sie ergibt sich aus Übereinstimmungen in der Betriebsart, Post-Exploitations-Installations-Skripten, die bereits in früheren Kampagnen und kryptographischen Mechanismen in Loadern beobachtet wurden, die zuvor mit verwandten Aktivitäten in China verbunden waren. Google Cloud hat auch APT41 Intrusionen und seine Verwendung von mehreren Exploits in globalen Kampagnen dokumentiert, die die Persistenz und Anpassungsfähigkeit dieses Schauspielers kontextualisieren helfen: Google Cloud Analyse. Um die auf Gruppen wie APT41 zurückzuführende Organisation und Taktik besser zu verstehen, bietet das MITRE-Repository nützliche Hinweise auf seine Klassifizierung und Techniken: MITRE APT41 und auf bestimmten Techniken wie AppDomain-Hijacking: AppDomain-Hijacking (MITRE).
Welche praktischen Auswirkungen hat diese Landschaft für Organisationen und Sicherheitsbeamte? Zunächst muss erkannt werden, dass kombinierte Vektoren - die Exposition von Diensten im Internet und die Geschwindigkeits-Phishing - eine Strategie erfordern, die sowohl präventiv als auch detektierbar ist. Die Patching und Reduktion der Angriffsfläche auf exponierten Servern bleiben grundlegende, aber kritische Maßnahmen, während Filter- und Sandkastenlösungen für Anbaugeräte und Verhaltensüberwachung viele Ketten abfangen können, bevor sie in Speicherlasten enden. Darüber hinaus sollte der Nachweis von Mustern wie DLL Sideloading, Injektion in legitime Prozesse und anormaler DNS-Verkehr Teil der Überwachungs- und Antwortregeln sein.
Schließlich erinnert der Fall von Silver Dragon daran, dass anhaltende Bedrohungen ständig aktualisiert werden: sie testen neue Techniken, kombinieren Infrastruktur und wiederverwenden Komponenten mit leichten Variationen, um statische Signaturen zu vermeiden. Die Sicherheitsgemeinschaft teilt Intelligenz und Werkzeuge, um diese Risiken zu mindern, so dass durch öffentliche Analysen und Mitteilungen von Lieferanten und Agenturen informiert wird. Berichte wie der Check Point und technische Veröffentlichungen von renommierten Plattformen ermöglichen es Verteidigungsteams, Regeln, Verpflichtungsindikatoren und Antwortspielbücher mit frischen und korrodierten Informationen anzupassen.
Wenn Sie diese Art von Kampagne und die empfohlenen Verteidigungen vertiefen möchten, sind die technischen Berichte und Wissensbasen von Lieferanten und Organisationen wie Check Point, Google Cloud und MITRE ein guter Ausgangspunkt: Prüfstelle, Google Cloud und MITRE ATT & CK.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...