{"id":39553,"date":"2023-04-12T10:16:45","date_gmt":"2023-04-12T08:16:45","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=39553"},"modified":"2023-04-12T10:38:41","modified_gmt":"2023-04-12T08:38:41","slug":"peking-calling-chinesische-apts-haben-es-auf-europaeische-regierungen-und-unternehmen-abgesehen","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/news\/peking-calling-chinesische-apts-haben-es-auf-europaeische-regierungen-und-unternehmen-abgesehen\/","title":{"rendered":"Peking calling: Chinesische APTs haben es auf europ\u00e4ische Regierungen und Unternehmen abgesehen"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/news\/peking-calling-chinesische-apts-haben-es-auf-europaeische-regierungen-und-unternehmen-abgesehen\/#APT27\" >APT27<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/news\/peking-calling-chinesische-apts-haben-es-auf-europaeische-regierungen-und-unternehmen-abgesehen\/#APT31\" >APT31<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/news\/peking-calling-chinesische-apts-haben-es-auf-europaeische-regierungen-und-unternehmen-abgesehen\/#APT15\" >APT15<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/news\/peking-calling-chinesische-apts-haben-es-auf-europaeische-regierungen-und-unternehmen-abgesehen\/#Mustang_Panda\" >Mustang Panda<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/news\/peking-calling-chinesische-apts-haben-es-auf-europaeische-regierungen-und-unternehmen-abgesehen\/#Detection_Response-Massnahmen\" >Detection &amp; Response-Ma\u00dfnahmen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/testing.secuinfra.com\/de\/news\/peking-calling-chinesische-apts-haben-es-auf-europaeische-regierungen-und-unternehmen-abgesehen\/#Hashsums_fuer_die_genannten_Beispiele\" >Hashsums f\u00fcr die genannten Beispiele<\/a><\/li><\/ul><\/nav><\/div>\n<p>In einer aktuellen <a  href=\"https:\/\/cert.europa.eu\/files\/data\/TLP-CLEAR-JointPublication-23-01.pdf\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >TLP:CLEAR-Ver\u00f6ffentlichung<\/a> warnen die Agentur der Europ\u00e4ischen Union f\u00fcr Cybersicherheit (ENISA) und das CERT-EU vor b\u00f6sartigen Aktivit\u00e4ten gegen EU-Regierungen und Unternehmen, die chinesischen APT-Gruppen (Advanced Persistent Threats) zugeschrieben werden. Im Gegensatz zu anderen staatlich unterst\u00fctzten Bedrohungsgruppen, z. B. aus Nordkorea, die mit Cyberangriffen finanzielle Gewinne erzielen wollen, sind chinesische Bedrohungsakteure motiviert, politische und industrielle Spionage zu betreiben und sich langfristig zu etablieren. <strong>In diesem Newsbeitrag m\u00f6chten wir Sie \u00fcber die derzeit aktiven chinesischen APT-Gruppen und ihre jeweiligen Tools und Techniken informieren.<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"APT27\"><\/span>APT27<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Diese Bedrohungsgruppe, die manchmal auch als &#8222;Lucky Mouse&#8220; bezeichnet wird, hat es seit mehr als einem Jahrzehnt auf ausl\u00e4ndische Botschaften und Organisationen abgesehen, um Informationen \u00fcber Politik, Verteidigung und Technologie zu sammeln. Zus\u00e4tzlich zu freien\/offenen Quellen und System-Tools verwenden sie aus dem China-Nexus bekannte Malware wie HyperBro und PlugX.<\/p>\n<p>Ein weiteres ma\u00dfgeschneidertes St\u00fcck aus ihrem Toolkit ist eine Backdoor namens &#8222;SysUpdate&#8220;. <a  href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/c\/iron-tiger-sysupdate-adds-linux-targeting.html\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >TrendMicro<\/a> hat k\u00fcrzlich herausgefunden, dass diese Malware, die bisher nur f\u00fcr Windows gedacht war, jetzt auch Linux-Systeme angreift, wie in Abbildung 1 unten zu sehen ist. Zu den Funktionen von SysUpdate geh\u00f6ren das Abrufen von Informationen (Screenshots, Systeminformationen) und verschiedene Ausf\u00fchrungsoptionen (Prozess\/Dienst, Dateimanager, Remote Shell). Eine Teilmenge der Beispiele enth\u00e4lt auch eine Funktion zur Verwendung von DNS-Datenverkehr (Domain Resolution) f\u00fcr die Command&amp;Control-Kommunikation.<\/p>\n<figure id=\"attachment_39454\" aria-describedby=\"caption-attachment-39454\" style=\"width: 733px\" class=\"wp-caption aligncenter\"><img fetchpriority=\"high\" decoding=\"async\" class=\"wp-image-39454 size-full\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/apt27-sysupdate.png\" alt=\"\" width=\"733\" height=\"346\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt27-sysupdate.png 733w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt27-sysupdate-300x142.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt27-sysupdate-24x11.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt27-sysupdate-36x17.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt27-sysupdate-48x23.png 48w\" sizes=\"(max-width: 733px) 100vw, 733px\" \/><figcaption id=\"caption-attachment-39454\" class=\"wp-caption-text\">Abb. 1: SysUpdate (Linux-Version) stellt die Persistenz durch systemd her.<\/figcaption><\/figure>\n<h2><span class=\"ez-toc-section\" id=\"APT31\"><\/span>APT31<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Aktivit\u00e4ten von APT31 sind im Vergleich zu anderen chinesischen Bedrohungsgruppen eher unauff\u00e4llig, weniger h\u00e4ufig und v\u00f6llig unabh\u00e4ngig von anderen Gruppen. Sie konzentrieren sich auf die Ausnutzung verschiedener Software, um politische, wirtschaftliche und milit\u00e4rische Informationen zu sammeln. Im Jahr 2021 entdeckten Forscher die sogenannte &#8222;SoWaT&#8220;-Backdoor, die auf Router (MIPS-Architektur) in mehreren westeurop\u00e4ischen L\u00e4ndern abzielt. Abbildung 2 zeigt einen Screenshot der Analyse der Backdoor und enth\u00e4lt einige Hinweise auf ihre Funktionsweise: Manipulation von Router-Einstellungen und Empfang von Fernbefehlen. Die Komplexit\u00e4t der Command&amp;Control-Verkehrsabwicklung und der Verschl\u00fcsselung zeigt, dass diese Backdoor f\u00fcr einen verdeckten Einsatz konzipiert wurde. Eine gr\u00fcndliche Analyse der Backdoor wurde von <a  href=\"https:\/\/imp0rtp3.wordpress.com\/2021\/11\/25\/sowat\/\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >imp0rtp3<\/a> durchgef\u00fchrt.<\/p>\n<figure id=\"attachment_39456\" aria-describedby=\"caption-attachment-39456\" style=\"width: 1075px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" class=\"wp-image-39456 size-full\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/apt31-sowat.png\" alt=\"\" width=\"1075\" height=\"432\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt31-sowat.png 1075w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt31-sowat-300x121.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt31-sowat-1024x412.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt31-sowat-768x309.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt31-sowat-24x10.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt31-sowat-36x14.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/apt31-sowat-48x19.png 48w\" sizes=\"(max-width: 1075px) 100vw, 1075px\" \/><figcaption id=\"caption-attachment-39456\" class=\"wp-caption-text\">Abb. 2: SoWaT-Backdoor, String-Ansicht, gibt Hinweise auf Funktionalit\u00e4t<\/figcaption><\/figure>\n<h2><span class=\"ez-toc-section\" id=\"APT15\"><\/span>APT15<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>In einem<a  href=\"https:\/\/unit42.paloaltonetworks.com\/playful-taurus\/\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" > k\u00fcrzlich von Palo Alto Networks Unit42 erstellten Bericht<\/a> wurde festgestellt, dass die Gruppe APT15 Advanced Persistent Threat mit einer ma\u00dfgeschneiderten Windows-Backdoor namens &#8222;Turian&#8220;, die erstmals 2021 von <a  href=\"https:\/\/www.welivesecurity.com\/2021\/06\/10\/backdoordiplomacy-upgrading-quarian-turian\/\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >ESET<\/a> entdeckt wurde, speziell auf die Infrastruktur der iranischen Regierung abzielt. Die Tools von APT15 sind in ihrer Raffinesse mit denen der anderen in diesem Artikel genannten Bedrohungsgruppen vergleichbar, aber die derzeit zugeordneten Kampagnen zeigen, dass ihr Schwerpunkt derzeit auf L\u00e4ndern im Nahen Osten, Afrika und Nord-\/S\u00fcdamerika liegt.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Mustang_Panda\"><\/span>Mustang Panda<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Aktivit\u00e4ten von Mustang Panda reichen mindestens bis 2017\/2018 zur\u00fcck, als sie zum ersten Mal die Mongolei ins Visier nahmen, um Informationen zu sammeln. Die Bedrohungsgruppe ist f\u00fcr einen etwas offeneren Ansatz bei der Kompromittierung politischer Ziele bekannt, wobei ihr bevorzugtes Werkzeug b\u00f6sartige Office-Dokumente oder Dokumentenk\u00f6der in Kombination mit (dateiloser) Malware sind, wie in Abbildung 3 zu sehen ist. Ein weiteres Tool ihrer Wahl sind angepasste Versionen von <a  href=\"https:\/\/www.welivesecurity.com\/2022\/03\/23\/mustang-panda-hodur-old-tricks-new-korplug-variant\/\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >PlugX<\/a>\/<a  href=\"https:\/\/www.welivesecurity.com\/2022\/03\/23\/mustang-panda-hodur-old-tricks-new-korplug-variant\/\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Korplug<\/a>.<\/p>\n<figure id=\"attachment_39458\" aria-describedby=\"caption-attachment-39458\" style=\"width: 1223px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" class=\"wp-image-39458 size-full\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/mustangpanda-lure.png\" alt=\"\" width=\"1223\" height=\"199\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-lure.png 1223w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-lure-300x49.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-lure-1024x167.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-lure-768x125.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-lure-24x4.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-lure-36x6.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-lure-48x8.png 48w\" sizes=\"(max-width: 1223px) 100vw, 1223px\" \/><figcaption id=\"caption-attachment-39458\" class=\"wp-caption-text\">Abb. 3: Inhalt eines von Mustang Panda verteilten RAR-Archivs, enth\u00e4lt K\u00f6der in Dokumenten sowie Malware<\/figcaption><\/figure>\n<p>ESET entdeckte k\u00fcrzlich eine neue Backdoor, die Mustang Panda zugeschrieben wird und die sie &#8222;MQsTTang&#8220; nannten, nach dem verwendeten MQTT-Netzwerkprotokoll, das f\u00fcr ihre Command&amp;Control-Infrastruktur verwendet wird (siehe Abbildung 4).<\/p>\n<figure id=\"attachment_39460\" aria-describedby=\"caption-attachment-39460\" style=\"width: 1191px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-39460 size-full\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/mustangpanda-mqtt.png\" alt=\"\" width=\"1191\" height=\"454\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-mqtt.png 1191w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-mqtt-300x114.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-mqtt-1024x390.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-mqtt-768x293.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-mqtt-24x9.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-mqtt-36x14.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mustangpanda-mqtt-48x18.png 48w\" sizes=\"(max-width: 1191px) 100vw, 1191px\" \/><figcaption id=\"caption-attachment-39460\" class=\"wp-caption-text\">Abb. 4: MQsTTang-Backdoor, die \u00fcber das MQTT-Protokoll kommuniziert<\/figcaption><\/figure>\n<h2><span class=\"ez-toc-section\" id=\"Detection_Response-Massnahmen\"><\/span>Detection &amp; Response-Ma\u00dfnahmen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>Wir unterst\u00fctzen die von CERT-EU vorgeschlagenen Ma\u00dfnahmen und m\u00f6chten einige von ihnen hervorheben, die einen gro\u00dfen Einfluss auf die Sicherheitslage von Organisationen in bestimmten Branchen haben werden:<\/strong><\/p>\n<ul>\n<li>Einrichtung einer Protokollerfassung und \u00dcberwachung von Sicherheitsereignissen auf Anlagen und Netzwerkausr\u00fcstung.<\/li>\n<li>Der Schutz von Anlagen (Clients, Server) sollte durch den Einsatz einer Endpoint Detection &amp; Response (EDR)-L\u00f6sung und kontinuierliche \u00dcberwachung verst\u00e4rkt werden.<\/li>\n<li>Verwalten Sie Schwachstellen \u00fcber ein zentrales System und halten Sie die Patch-Zyklen ein.<\/li>\n<li>F\u00fchren Sie regelm\u00e4\u00dfige Bewertungen Ihrer Umgebung durch, entweder offensiv (Pentests, Red-Teaming) oder defensiv (Compromise Assessments).<\/li>\n<li>Erstellen Sie eine gr\u00fcndliche Backup-Strategie und Pl\u00e4ne f\u00fcr die Reaktion auf Zwischenf\u00e4lle und testen Sie diese regelm\u00e4\u00dfig.<\/li>\n<li>Schaffen Sie bei den Benutzern ein Bewusstsein f\u00fcr m\u00f6gliche b\u00f6sartige Aktivit\u00e4ten, z. B. durch Phishing-Simulationen und gezielte Schulungen.<\/li>\n<\/ul>\n<div class=\"fazit\"><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Hashsums_fuer_die_genannten_Beispiele\"><\/span>Hashsums f\u00fcr die genannten Beispiele<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>APT27 \u2013 SysUpdate<\/strong><\/p>\n<p>e9c6e9aba10b5e26e578efc6105727d74fbd3a02450fbda2b4ee052b3fbbaecb<\/p>\n<p><strong>APT31 \u2013 SoWaT<\/strong><\/p>\n<p>1d60edb577641ce47dc2a8299f8b7f878e37120b192655aaf80d1cde5ee482d2<\/p>\n<p><strong>MustangPanda<\/strong><\/p>\n<p>RAR &#8211; 447a62c7e29e2da85884b6e4aea80aca2cc5ba86694733ca397a2c8ba0f8e197<\/p>\n<p>MQsTTang backdoor &#8211; 4936b873cfe066ec5efce01ef8fb1605f8bc29a98408a13bc8fe4462b2f09c5a<\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>ENISA und CERT-EU warnten vor b\u00f6sartigen Aktivit\u00e4ten gegen EU-Regierungen und Unternehmen, die chinesischen APTs zugeschrieben werden.<\/p>\n","protected":false},"author":6,"featured_media":39461,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"dpc_coauthors":[],"class_list":["post-39553","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/39553","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=39553"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/39553\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/39461"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=39553"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=39553"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=39553"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=39553"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}