Die Akteure der Cybercrime-Branche vernetzen sich. Dadurch steigen die Zahl und die Gefährlichkeit der Angriffe. Eine neue Studie von WithSecure (früher F-Secure Business) veranschaulicht diese Dynamik. Sie dokumentiert die Weitergabe des Cyberangriffstools SILKLOADER von chinesischen Cyberkriminellen an russische Ransomware-Banden.
Sicherheitsforscher von WithSecure wurden zum ersten Mal durch einen Angriff auf eine Sozialeinrichtung in Frankreich auf SILKLOADER aufmerksam. Der aktuellen Studie zufolge wird das Tool schon mindestens seit Anfang 2022 für Cyberattacken eingesetzt. Bis zum Sommer 2022 wurde es ausschließlich von chinesischen Cyberkriminellen in Ostasien verwendet, vor allem gegen Ziele in Hongkong und China. Im Juli 2022 wurden die SILKLOADER-Aktivitäten jedoch vorerst eingestellt.
Erst im September 2022 tauchte SILKLOADER bei mehreren Angriffswellen gegen verschiedene Ziele in Ländern wie Taiwan, Brasilien und Frankreich wieder auf. Die WithSecure -Forscher kommen zu dem Schluss, dass SILKLOADER in der Zwischenzeit in das russische Cybercrime-Ökosystem abgewandert war. Die wahrscheinlichste Erklärung dafür ist, dass chinesische Cyberkriminelle es an russische Partner verkauft hatten.
“Wir gehen davon aus, dass SILKLOADER derzeit innerhalb der russischen Cybercrime-Szene als handelsüblicher Loader über ein Packer-as-a-Service-Programm an Ransomware-Gruppen vertrieben wird - möglicherweise auch über Gruppen, die Cobalt Strike/Infrastructure-as-a-Service für Partner in ihrem Netzwerk anbieten", so WithSecure Intelligence Researcher Mohammad Kazem Hassan Nejad.
"Unserer Beobachtung nach wurde das Tool regelmäßig in den frühen Phasen von Ransomware-Angriffen eingesetzt, um Zugriff auf Rechner zu bekommen. Die meisten Akteure mit Zugriff auf das Tool scheinen Teil der CONTI-Gruppe gewesen zu sein oder in engen Arbeitsbeziehungen mit der Gruppe, ihren Mitgliedern und ihren - auch nach der angeblichen Schließung aktiven - Ablegern gestanden zu haben."
Die Malware SILKLOADER gehört zu den sogenannten Loadern. Das Tool nutzt eine Technik aus, die als DLL-Sideloading bekannt ist. Dabei wird der VLC Media Player verwendet, um Cobalt Strike Beacons auf den ausführenden Geräten zu starten. Diese Beacons ermöglichen Angreifern den ständigen Zugriff auf infizierte Geräte, um ihre Attacken weiterzuführen. Laut Hassan Nejad wurde der Loader so konstruiert, dass er die Cobalt Strike Beacons verschleiert, um die Abwehrmechanismen auf dem Rechner des Opfers zu umgehen.
"Cobalt Strike Beacons sind hinreichend bekannt, so dass sie auf einem gut geschützten Rechner mit großer Sicherheit erkannt werden. Die Angreifer versuchen jedoch, diese Verteidigungs-Mechanismen zu umgehen, indem sie dem Dateiinhalt zusätzliche Komplexitätsebenen hinzufügen und ihn über eine bekannte Anwendung wie z.B. den VLC Media Player per Sideloading starten", führt Nejad weiter aus.
Im Kampf gegen Cybercrime-Dienstleistungen
Der Loader ist auf dem Cybercrime-Markt als Dienstleistung verfügbar, die von verschiedenen Bedrohungsakteuren in Anspruch genommen werden kann. Für Paolo Palumbo, Vice President von WithSecure Intelligence, verdeutlicht das die Herausforderungen bei der Bekämpfung der inzwischen vorhandenen Fähigkeiten und Methoden im Bereich Internetkriminalität.
"Die Angreifer nutzen die Angebote der Cybercrime-Industrie, um neue Kompetenzen zu erwerben und an Technologien heranzukommen, mit denen sie ihre Operationen schneller an die Verteidigungsmaßnahmen ihrer Ziele anpassen können. Das macht es für uns schwierig, die genutzten Ressourcen einer bestimmten Gruppe oder einem bestimmten Modus Operandi zuzuordnen."
Gleichzeitig bietet die gemeinsame Nutzung von Infrastruktur uns als Verteidigern einen Vorteil: Wir können uns gegen mehrere Gruppen gleichzeitig zur Wehr setzen, indem wir Strategien zur Abwehr der gemeinsam genutzten Ressourcen entwickeln. Man könnte sagen, dass sich unsere Verteidigungskraft dadurch vervielfacht", so Palumbo.