Cybersicherheitsforscher haben neue Bedrohungsakteure entdeckt, die es auf Regierungs-, Luftfahrt-, Bildungs- und Telekommunikationsunternehmen abgesehen haben.
A Bericht (öffnet sich in neuem Tab) von Symantec berichtete, dass eine Gruppe, die sie Lancefly nannten, eine benutzerdefinierte Malware nutzte, um die oben genannten Organisationen anzugreifen. Lancefly verwendet einen benutzerdefinierten Infostealer namens Merdoor, der den Forschern zufolge seit mindestens 2018 im Umlauf ist. Die Forscher haben ihn bereits in bestimmten Kampagnen in den Jahren 2020 und 2021 entdeckt, aber für diese spezielle Kampagne wird die Malware seit Mitte 2020 verwendet. 2022 und wird bis 2023 fortgesetzt.
Die Experten von Symantec behaupten, dass die Angreifer mit Merdoor kein großes Netz auswerfen, sondern bei der Auswahl ihrer Ziele eher wählerisch seien. „Nur eine kleine Anzahl von Maschinen [are] infiziert“, sagten sie.
Die Merdoor-Malware
Merdoor verfügt über eine Reihe von Funktionen, darunter die Installation als Dienst, Keylogging, verschiedene Kommunikationsmittel mit dem C2-Server (HTTP, HTTPS, DNS usw.) und die Möglichkeit, einen lokalen Port auf Befehle abzuhören.
Während Beweise aus früheren Kampagnen darauf hindeuten, dass Lancefly klassische Phishing-Techniken verwendet, um die Hintertür an Endpunkte zu verteilen (öffnet sich in neuem Tab)Für diese spezielle Kampagne sei der Infektionsvektor nicht klar, sagten die Forscher. In einem Fall scheinen die Angreifer SSH-Brute-Force eingesetzt zu haben. In einem anderen Fall wurde möglicherweise ein Load Balancer für den Zugriff ausgenutzt.
„Während die Beweise für einen dieser Infektionsvektoren nicht endgültig sind, scheinen sie darauf hinzudeuten, dass Lancefly anpassungsfähig ist, wenn es um die Art der von ihm verwendeten Infektionsvektoren geht“, schlussfolgerten die Forscher.
Die Identität der Gruppe bleibt ein Rätsel, obwohl die Forscher vermuteten, dass es sich um Chinesen handeln könnte. In seinen Kampagnen verwendet Lancefly das ZXSHell-Rootkit, das mit dem Zertifikat „Wemade Entertainment Co. Ltd“ signiert ist. Dieses Zertifikat wird mit Blackfly (auch bekannt als APT41) in Verbindung gebracht, einem chinesischen Bedrohungsakteur. Diese Gruppe ist jedoch dafür bekannt, dass sie ihre Zertifikate mit anderen Bedrohungsakteuren teilt.
Wo auch immer die Gruppe herkommt, eines ist sicher: Das Ziel ihrer Kampagne ist Spionage und Informationsbeschaffung.