„Blackwood“-Hacker spionieren in UK, China und Japan mit raffinierter Schadsoftware. [...]
Cyberkriminelle finden immer wieder findige Wege, um an wertvolle Daten zu gelangen. Wie ESET Forscher entdeckt haben, macht eine bisher unbekannte, aus China stammende Hackergruppe mit einem neuen Tool namens NSPX30 Jagd auf Daten.
Das Besondere dabei: Anstatt den Nutzer über schadhafte E-Mail-Anhänge und Webseiten zu infizieren, kommt es per offiziellen App-Updates auf seine Zielsysteme. Seit 2018 spioniert „Blackwood“, wie das Team um den ESET Forscher Facundo Muñoz die Gruppe genannt hat, Personen und Unternehmen im Vereinigten Königreich, China und Japan aus.
Ist die Malware erst einmal installiert, fängt sie sofort an, Daten zu sammeln und an ihre Hintermänner weiterzuleiten. Dazu gehören Screenshots, auf dem Gerät gespeicherte Informationen sowie Tastaturanschläge. Das genaue Angriffsmuster und wie die Gruppe ihre Identität verschleiert, ist allerdings noch unbekannt:
„Wie genau die Angreifer in der Lage sind, NSPX30 als bösartige Updates auszuliefern, ist uns nicht bekannt, da wir das Tool, mit dem die Kriminellen ihre Ziele zunächst kompromittieren, noch nicht entdeckt haben“, erklärt ESET Forscher Facundo Muñoz, der NSPX30 und Blackwood entdeckt hat.
„Wir vermuten jedoch, dass die Angreifer die Schadsoftware in den Netzwerken ihrer Opfer einsetzen, indem sie sie auf anfälligen Netzwerkgeräten wie Routern oder Gateways installieren. Dafür sprechen unsere Erfahrungen mit ähnlichen chinesischen Bedrohungsakteuren sowie mit jüngsten Untersuchungen von Router-Implantaten, die einer anderen chinesischen Gruppe, MustangPanda, zugeschrieben werden“.
Wer sind die Opfer von Blackwood?
Zu den Zielen der neuen Hackergruppe gehören nicht identifizierte Personen in China und Japan und eine nicht identifizierte chinesischsprachige Person, die mit dem Netzwerk einer renommierten öffentlichen Forschungsuniversität in Großbritannien verbunden ist. Auch ein großes Produktions- und Handelsunternehmen in China sowie dort ansässige Niederlassungen eines japanischen Produktionsunternehmens sind ins Fadenkreuz von Blackwood geraten.
Wie ESET Forscher beobachtet haben, ist es für die betroffenen Personen und Organisationen nicht leicht, die Angriffe endgültig abzuwehren: Die Akteure versuchen immer wieder, die Systeme ihrer Opfer zu kompromittieren, sobald der Zugriff verloren geht.
China-Hacker nutzen hartnäckiges Cyber-Implantat
Blackwood ist eine Advanced Persistent Threat (APT)-Gruppe, die vom chinesischen Staat finanziert wird und seit mindestens 2018 aktiv ist. Seitdem hat sie vor allem durch Cyberspionage-Kampagnen gegen chinesische und japanische Einzelpersonen sowie Unternehmen durchgeführt. Dabei bevorzugt sie die Adversary-in-the-Middle(AitM)-Methode: Cyberkriminelle setzen sich hierbei in die Kommunikation zwischen dem Nutzer und einem legitimen Dienst und können damit sogar Sicherungsmechanismen wie eine Multi-Faktor-Authentifizierung umgehen.
Bei ihren Attacken griff die Blackwood-Gruppe auf ein Tool mit dem kryptischen Namen NSPX30 zurück. Dabei handelt es sich um ein sogenanntes Implantat, also eine Malware, die Hackern weitreichenden Zugang zu den Systemen seiner Opfer erlaubt. Die Grundversion dieses Tools tauchte bereits 2005 erstmalig auf.
Dieses Implantat enthält verschiedene Funktionen, darunter einen Dropper, einen Installer, einen Orchestrator und eine Backdoor. Mit den beiden letzten Funktionen können die Hacker Anwendungen wie Skype, Telegram und die vor allem in China beliebten Messenger-Dienste Tencent QQ und WeChat ausspionieren. Zwei Funktionen machen das Implantat besonders hinterhältig:
- NSPX30 kann sich in verschiedene chinesische Anti-Malware-Lösungen einschleusen, um einer Erkennung zu entgehen
- Die Installation erfolgt über ein offizielles Update: Versuchen Anwendungen wie der Messenger Tencent QQ oder die Office-Apps Sogou Pinyin und WPS Office Updates über eine unverschlüsselte Verbindung herunterzuladen, installiert sich das Implantat gleich mit. Opfer müssen noch nicht einmal auf eine kompromittierte Seite gehen oder auf einen Phishing-Link klicken, um sich zu infizieren.
Be the first to comment