UAT-8302 stiehlt mit eigener Schadsoftware und Open-Source-Tools Daten von Behörden

Durch die Kombination legitimer Cloud-Dienste und Open-Source-Tools mit selbstentwickelter Malware erschwert sie es Verteidigern, echte Netzwerkaktivitäten. Die Angreifer zeigen eine hohe Geduld und führen tiefgehende, methodische Aufklärung an jedem erreichbaren Endpunkt durch, bevor sie weiter in die Zielsysteme vordringen.

Dieser sorgfältige und methodische Ansatz gilt weithin als Kennzeichen staatlich geförderter Bedrohungsoperationen, die hochrangige Regierungsinfrastrukturen ins Visier nehmen.

Forscher 8302 als eine auf China bezogene Advanced Persistent Threat (APT)-Gruppe, deren Hauptaufgabe darin besteht, langfristigen Zugriff auf Regierungsbehörden und damit verbundene Einrichtungen weltweit zu erlangen und zu erhalten.

Die Analysten Sicherheit, dass die Gruppe

Die Analysten Sicherheit, dass die Gruppe Werkzeuge mit mehreren zuvor offengelegten, auf China bezogenen Bedrohungsclustern teilt, darunter einen Bedrohungscluster, den sie als LongNosedGoblin überwachen. Die Überschneidung bei den verwendeten Werkzeugen und Techniken deutet auf eine enge operative Verbindung zwischen diesen Gruppen hin.

Das maßgeschneiderte Malware-Arsenal 8302 Die Aktivitäten nach der Kompromittierung einem vertrauten und gründlichen Spielplan. Sobald das Netzwerk erreicht ist, sammelt die Gruppe Zugangsdaten, erhebt Informationen aus Active Directory und kartiert die gesamte Umgebung, bevor sie zusätzliche Malware einsetzt.

Tools wie Impacket, benutzerdefinierte PowerShell-Skripte und Open-Source-Scanning-Engines werden eingesetzt, um alle erreichbaren Endpunkte zu identifizieren. Dieser Ansatz stellt sicher, dass Angreifer den Umfang der Umgebung, die sie nun kontrollieren, vollständig verstehen, bevor sie ihren nächsten Schritt planen.

Sicherheitslage und Risiko

Die Vernetzung 8302 (Quelle – Cisco Talos) Die Vielfalt der 8302 eingesetzten Malware-Familien zeigt, dass die Gruppe über ein gut bestücktes Werkzeugset verfügt.

Die Gruppe setzt NetDraft ein, ein auf.NET basierendes Backdoor-Tool, das mit der FinDraft- und SquidDoor-Familie in Verbindung steht, sowie eine aktualisierte Version des CloudSorcerer-Backdoors und des VSHELL-Implants.

In einem dokumentierten Eindringen wurden zudem SNAPPYBEE und ZingDoor gemeinsam eingesetzt – eine Taktik, die bereits 2024 ängig hervorgehoben wurde im Zusammenhang mit ähnlicher China-bezogener Aktivität. NetDraft zählt zu den bekanntesten Werkzeugen im Arsenal 8302.

Die Auslieferung erfolgt über eine DLL-Side-Loading-Technik,

Die Auslieferung erfolgt über eine DLL-Side-Loading-Technik, bei der eine harmlose ausführbare Datei eine bösartige DLL-basierte Ladekomponente lädt, die NetDraft innerhalb eines bestehenden Prozesses auf dem kompromittierten System dekodiert und ausführt.

Die Malware nutzt die Microsoft Graph API zur Kommunikation mit ihrem auf OneDrive basierenden Command-and-Control-Server, wodurch sie sich in normalen Cloud-Datenverkehr einblenden und Entdeckungen vermeiden kann. Talos bezeichnet die als „FringePorch".

CloudSorcerer Version 3 verhält sich je nach dem darin ausgeführten Prozess unterschiedlich: Wird sie in „dnapimg.exe" injiziert, sammelt sie Systemdetails und wechselt in „explorer.exe" über, um Befehle über einen benannten Pipe-Kanal zu empfangen.

Läuft sie hingegen innerhalb von „spoolsv.exe",

Läuft sie hingegen innerhalb von „spoolsv.exe", kontaktiert sie ein GitHub-Repository, um Command-and-Control-Informationen herunterzuladen. Dieses Formveränderungsverhalten erschwert die Erkennung durch herkömmliche Sicherheitstools.

Talos stellte zudem fest, dass SNOWRUST eingesetzt wurde, eine auf Rust basierende Variante des SNOWLIGHT-Stagers, der bei Intrusionen, die anderen Clustern mit Verbindungen zu China zugeschrieben werden, beobachtet wurde.

Open-Source-Tools und lateraler Zugriff UAT-8302 stützt sich stark auf Open-Source-Tools, um sich in kompromittierten Netzwerken zu bewegen.

Technischer Hintergrund

Nach dem Erreichen des ersten Zugriffs führt die Gruppe Scanning-Tools wie gogo, naabu, httpx und PortQry aus, um Dienste in internen Netzwerken zu kartieren und neue Systeme zu identifizieren, auf die sie ausweichen kann. Zugangsdaten werden aus MobaXterm-Sitzungen und Active Directory mittels Tools wie adconnectdump.py und SharpGetUserLoginRDP extrahiert.

Infektionskette NetDraft und FringePorch (Quelle – Cisco Talos) Um einen persistenten Hintertür-Zugriff aufrechtzuerhalten, installiert die Gruppe Stowaway, ein Proxy-Tool zum Tunneln, das auf Chinesisch (vereinfacht) programmiert wurde und externen Verkehr in infizierte Hosts innerhalb des Unternehmens umleitet.

Zudem wurde der Einsatz örden sollten Endpunkterkennungstools aktualisieren, um diese Bedrohungssignaturen zu identifizieren, den ausgehenden Datenverkehr zu Cloud-Plattformen wie OneDrive und GitHub auf ungewöhnliche Muster überwachen und regelmäßig geplante Aufgaben sowie DLL-Side-Loading-Verhalten an allen verwalteten Endpunkten überprüfen.

Die Re-Fang-Aktivitäten sind ausschließlich in kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM durchzuführen. Sie uns auf