Jena - Eine chinesische Cyberspionage-Gruppe hat ihr digitales Werkzeug für Angriffe auf Behörden deutlich verfeinert. Forscher des IT-Sicherheitsherstellers ESET entdeckten zwei bislang unbekannte Windows-Versionen einer Backdoor namens SprySOCKS, die bisher nur auf Linux-Systemen bekannt war. Hinter den Attacken steht den Forschern zufolge die Gruppe FishMonger, die mutmaßlich von einem chinesischen Auftragnehmer mit dem Namen I-SOON betrieben wird. Ausgerechnet jener Dienstleister also, dessen interne Dokumente Anfang 2024 durch ein aufsehenerregendes Datenleck publik wurden und einen seltenen Einblick in das Geschäft staatlich beauftragter Hacker gewährten.
Betroffen waren laut ESET Daten zwischen 2023 und 2024 mehrere Regierungsorganisationen. Der Schwerpunkt lag auf Behörden in Honduras, Taiwan, Thailand und Pakistan.Eine Hintertür, die sich praktisch unsichtbar machtDie neue Windows-Variante der Schadsoftware beherrscht über 30 Befehle und kann Systeminformationen auslesen, laufende Prozesse überwachen sowie Dateien erstellen, löschen und unbemerkt nach außen schleusen.Den eigentlichen Clou – nämlich eine bemerkenswerte Tarnung – liefert ein eigens eingeschleuster Systemtreiber: Er verbirgt die Netzwerkverbindungen, Prozesse, Dateien und Registry-Einträge der Backdoor vor dem System. Die Angreifer können ihre Befehle zudem über einen beliebigen, scheinbar harmlosen Kommunikationskanal an die Hintertür senden. Erst wenn ein eingehendes Datenpaket ein geheimes Erkennungsmerkmal enthält, leitet der Treiber es an die versteckte Backdoor weiter. Für gängige Schutzmechanismen bleibt der eigentliche Zugang dadurch unsichtbar."Im Kern funktioniert die Windows-Version genauso wie ihr Linux-Vorgänger: Die Angreifer haben sie aber gezielt an das Windows-System angepasst und vor allem deutlich besser getarnt", erklärt ESET-Forscher Martin Smolár, der FishMongers neues Arsenal entdeckt und analysiert hat "Dass sich dabei sogar Hinweise auf eine Manipulation des Systemstarts zeigen, ist ein Alarmsignal. Wir raten allen, die Aktivitäten der Gruppe sehr genau im Blick zu behalten."Tatsächlich fanden die Forscher erste, wenn auch noch vorsichtig bewertete, Anzeichen dafür, dass einzelne Angriffe einen sogenannten UEFI-Bootkit einsetzen könnten. Dabei nistet sich Schadcode noch vor dem eigentlichen Betriebssystem ein und übersteht damit selbst eine komplette Neuinstallation. Möglicherweise nutzten die Angreifer dafür eine bekannte Schwachstelle (CVE-2023-24932).Wer steckt hinter FishMonger?FishMonger ist eine Cyberspionage-Gruppe, die dem größeren Verbund der sogenannten Winnti-Gruppe zugerechnet wird und mit hoher Wahrscheinlichkeit aus der chinesischen Stadt Chengdu heraus operiert. In der Sicherheitsbranche taucht sie auch unter anderen Namen auf, darunter Earth Lusca, TAG-22, Aquatic Panda oder Red Dev 10. ESET veröffentlichte bereits Anfang 2020 eine erste Analyse der Gruppe. Damals attackierte sie während der Protestwelle ab Juni 2019 massiv Universitäten in Hongkong. Bekannt ist FishMonger zudem für sogenannte Watering-Hole-Angriffe, bei denen häufig besuchte Webseiten manipuliert werden, um deren Besucher zu infizieren. Zum Werkzeugkasten der Gruppe zählen unter anderem ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS und der BIOPASS RAT.Weitere Informationen zu Fishmonger gibt es in ESETs neuem Blogpost auf Welivesecurity.com: https://www.welivesecurity.com/de/eset-research/das-fishmonger-arsenal-wurde-erweitert-sprysocks-fur-windows(Ende)Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de