Trend Micro wurde bei der Überwachung von der mit China verbundenen APT-Gruppe Earth Lusca auf eine neue Kampagne aufmerksam, welche die chinesisch-taiwanesischen Beziehungen als Social-Engineering-Köder nutzt, um ausgewählte Ziele zu infizieren. Aufgrund der untersuchten Tools, Techniken und Verfahren (TTP) ordnet Trend Micro diese Kampagne mit hoher Wahrscheinlichkeit Earth Lusca zu.
Earth Lusca, die seit mindestens 2020 aktiv sind und ihren Modus Operandi regelmäßig änderten, sind dafür bekannt, mehrere verschiedene Kampagnen gleichzeitig zu starten. Die in diesem Bericht beschriebene Angriffskampagne war wahrscheinlich zwischen Dezember 2023 und Januar 2024 aktiv und enthielt eine Datei mit einem Köderdokument, in dem geopolitische Fragen zwischen China und Taiwan diskutiert wurden. Diese Datei wurde nur zwei Tage vor den nationalen Wahlen im Januar in Taiwan erstellt und das Dokument scheint ein legitimes Dokument zu sein, das von einem geopolitischen Experten aus Taiwan gestohlen wurde.
Die Angriffskampagne fasst Trend Micro wie folgt zusammen:
- Die Angriffskette beginnt mit Spear-Phishing-Angriffen, bei denen ein Archiv namens "China's gray zone warfare against Taiwan" verschickt wird.
- Das Archiv enthält zwei Windows-Verknüpfungsdateien (.LNK) und eine __MACOS-Unterordner, die JavaScript-Code verbergen.
- Der JavaScript-Code wird mithilfe von Verknüpfungsdateien und weiteren Schichten von JavaScript-Obfuscation ausgeführt, um eine schadhafte DLL-Datei zu laden.
- Die finale Stufe des Angriffs ist ein Cobalt-Strike-Payload, das über eine manipulierte DLL-Bibliothek ausgeführt wird.
Parallelen zwischen den Angriffsmethoden von Earth Lusca und einer chinesischen Firma namens I-Soon deuten auf mögliche Verbindungen hin, einschließlich gemeinsamer Opfer und verwendeter Malware:
- Es gibt einige Opferüberschneidungen zwischen Earth Lusca und I-Soon: Einige der Namen auf den Opferlisten des I-Soon-Leaks waren auch Opfer von Earth Lusca-Angriffen.
- Das von I-Soon und Earth Lusca verwendete Arsenal an Malware und Tools weist einige Überschneidungen auf. Malware wie ShadowPad, Winnti und einige andere Tools wurden von Earth Lusca häufig genutzt und werden auch von I-Soon verwendet.
- Trend Micro entdeckte auch eine Überschneidung bei den Standorten der beiden. In einem Blogeintrag vom September 2023 wurde bereits erwähnt, dass die Quell-IP-Adressen von Earth Lusca aus Chengdu in der Provinz Sichuan stammen, wo sich auch der Hauptsitz der Teams von I-Soon befindet.