Chinesische Malware verändert die Bedrohungslandschaft

Die beobachteten Kampagnen hatten in der Regel einen geringen Umfang und adressierten zumeist weltweit tätige Unternehmen mit Niederlassungen in China. Die E-Mail-Betreffzeilen und -Inhalte wurden gemeinhin auf Chinesisch verfasst und standen im Zusammenhang mit Rechnungen, Zahlungen und neuen Produkten. Die Benutzer, auf die es die Täter abgesehen hatten, tragen meist chinesische Namen, die mit entsprechenden chinesischen Schriftzeichen geschrieben werden bzw. nutzten spezifische Unternehmens-E-Mail-Adressen, die mit den Geschäftsaktivitäten in China in Verbindung zu stehen scheinen. Die meisten Kampagnen zielten auf chinesischsprachige Nutzer ab. Dass die Cyberkriminellen auch japanische Unternehmen ins Fadenkreuz nehmen, deutet auf eine Ausweitung der Aktivitäten hin.

Bei den kürzlich identifizierten Aktivitäten ließen sich flexible Verbreitungsmethoden feststellen, bei denen sowohl einfache als auch mäßig komplexe Techniken genutzt wurden. Meist enthielten die E-Mails URLs, die auf komprimierte ausführbare Dateien verwiesen. Mittels dieser ausführbaren Dateien sollte die Malware installiert werden. Proofpoint hat jedoch auch beobachtet, dass Sainbox RAT und ValleyRAT über Excel- und PDF-Anhänge verbreitet werden, die wiederum URLs zu komprimierten ausführbaren Dateien enthalten.

Die Proofpoint-Experten sind davon überzeugt, dass es bei verschiedenen Kampagnen zur Verbreitung von Sainbox RAT und ValleyRAT Überschneidungen bei den Taktiken, Techniken und Verfahren (TTPs) gibt. Die Untersuchung weiterer Aktivitätscluster, bei denen diese Malware-Typen zum Einsatz kamen, deutet auf eine Vielfalt an Infrastrukturen, Absenderdomänen, E-Mail-Inhalten, Zielen und Payloads hin. Daher kommen die Experten zu dem Schluss, dass die Verwendung der Malware-Varianten und die damit verbundenen Kampagnen nicht auf ein und dasselbe Cluster zurückzuführen sind, sondern wahrscheinlich auf mehrere unterschiedliche Gruppen.

Dass nun vermehrt neue chinesische Malware auftaucht und gleichzeitig die Verbreitung älterer chinesischer Malware-Varianten zunimmt, spricht für einen neuen Trend in der Bedrohungslandschaft. Die Mischung aus historischer Malware wie Sainbox – einer Variante der älteren Gh0stRAT-Malware – und neu entdeckter Typen wie ValleyRAT könnte die russische Dominanz im Cybercrime-Umfeld brechen. Chinesische Malware zielt derzeit jedoch hauptsächlich auf Benutzer ab, die Chinesisch sprechen.

Die nun durchgeführte Analyse von Proofpoint liefert Security-Verantwortlichen mehrere Indikatoren, um Kompromittierungen zu erkennen und neue Bedrohungen zu identifizieren.

Gh0stRAT / Sainbox

Den Proofpoint-Experten war es möglich, die zunehmende Verbreitung einer Gh0stRAT-Variante zu beobachten. Diese wird von Proofpoint als Sainbox bezeichnet. Sainbox wurde von Proofpoint erstmals im Jahr 2020 identifiziert und wird von anderen Security-Forschern zuweilen als FatalRAT bezeichnet. Seit April 2023 hat Proofpoint fast 20 Kampagnen identifiziert, bei denen Sainbox verwendet wurde, nachdem sie zuvor jahrelang völlig aus der E-Mail-Bedrohungslandschaft verschwunden war.

Bei Gh0stRAT handelt es sich um einen Remote Access Trojaner, der erstmals im Jahr 2008 beobachtet wurde. Der Builder für diesen RAT ist online verfügbar und auch der Quellcode ist öffentlich zugänglich. Im Laufe der Jahre wurde Gh0stRAT von mehreren Autoren und Cybercrime-Gruppen in verschiedenen Varianten verändert. Dazu zählen auch abgezweigte Varianten wie Sainbox. 2023 hat Proofpoint auch eine Handvoll chinesischsprachiger Kampagnen beobachten können, bei denen ältere Gh0stRAT-Varianten verbreitet wurden.

Fast alle beobachteten Sainbox-Kampagnen nutzten als Köder das Thema Rechnungen. Die E-Mails wurden in der Regel von Outlook- bzw. Freemail-E-Mail-Adressen verschickt und enthielten URLs oder Excel-Anhänge mit URLs, die auf eine gezippte ausführbare Datei verwiesen, mit deren Hilfe Sainbox installiert werden sollte.

Am 17. Mai 2023 beobachtete Proofpoint zum Beispiel eine Kampagne, die auf Dutzende von Unternehmen abzielte, von denen die meisten im Fertigungs- und Technologiebereich tätig waren.

Seit Anfang 2023 konnte das Cybersecurity- und Compliance-Unternehmen Proofpoint eine Zunahme von mutmaßlich chinesischen Cybercrime-Aktivitäten beobachten, bei denen Malware via E-Mail verbreitet wurde. Unter anderem wurde dabei der Sainbox Remote Access Trojaner (RAT) genutzt – eine Variante des Commodity-Trojaners Gh0stRAT. Auch die neu identifizierte ValleyRAT-Malware wurde im Rahmen der Aktivitäten verbreitet.

Die beobachteten Kampagnen hatten in der Regel einen geringen Umfang und adressierten zumeist weltweit tätige Unternehmen mit Niederlassungen in China. Die E-Mail-Betreffzeilen und -Inhalte wurden gemeinhin auf Chinesisch verfasst und standen im Zusammenhang mit Rechnungen, Zahlungen und neuen Produkten. Die Benutzer, auf die es die Täter abgesehen hatten, tragen meist chinesische Namen, die mit entsprechenden chinesischen Schriftzeichen geschrieben werden bzw. nutzten spezifische Unternehmens-E-Mail-Adressen, die mit den Geschäftsaktivitäten in China in Verbindung zu stehen scheinen. Die meisten Kampagnen zielten auf chinesischsprachige Nutzer ab. Dass die Cyberkriminellen auch japanische Unternehmen ins Fadenkreuz nehmen, deutet auf eine Ausweitung der Aktivitäten hin.

Bei den kürzlich identifizierten Aktivitäten ließen sich flexible Verbreitungsmethoden feststellen, bei denen sowohl einfache als auch mäßig komplexe Techniken genutzt wurden. Meist enthielten die E-Mails URLs, die auf komprimierte ausführbare Dateien verwiesen. Mittels dieser ausführbaren Dateien sollte die Malware installiert werden. Proofpoint hat jedoch auch beobachtet, dass Sainbox RAT und ValleyRAT über Excel- und PDF-Anhänge verbreitet werden, die wiederum URLs zu komprimierten ausführbaren Dateien enthalten.

Die Proofpoint-Experten sind davon überzeugt, dass es bei verschiedenen Kampagnen zur Verbreitung von Sainbox RAT und ValleyRAT Überschneidungen bei den Taktiken, Techniken und Verfahren (TTPs) gibt. Die Untersuchung weiterer Aktivitätscluster, bei denen diese Malware-Typen zum Einsatz kamen, deutet auf eine Vielfalt an Infrastrukturen, Absenderdomänen, E-Mail-Inhalten, Zielen und Payloads hin. Daher kommen die Experten zu dem Schluss, dass die Verwendung der Malware-Varianten und die damit verbundenen Kampagnen nicht auf ein und dasselbe Cluster zurückzuführen sind, sondern wahrscheinlich auf mehrere unterschiedliche Gruppen.

Dass nun vermehrt neue chinesische Malware auftaucht und gleichzeitig die Verbreitung älterer chinesischer Malware-Varianten zunimmt, spricht für einen neuen Trend in der Bedrohungslandschaft. Die Mischung aus historischer Malware wie Sainbox – einer Variante der älteren Gh0stRAT-Malware – und neu entdeckter Typen wie ValleyRAT könnte die russische Dominanz im Cybercrime-Umfeld brechen. Chinesische Malware zielt derzeit jedoch hauptsächlich auf Benutzer ab, die Chinesisch sprechen.

Die nun durchgeführte Analyse von Proofpoint liefert Security-Verantwortlichen mehrere Indikatoren, um Kompromittierungen zu erkennen und neue Bedrohungen zu identifizieren.

Gh0stRAT / Sainbox

Den Proofpoint-Experten war es möglich, die zunehmende Verbreitung einer Gh0stRAT-Variante zu beobachten. Diese wird von Proofpoint als Sainbox bezeichnet. Sainbox wurde von Proofpoint erstmals im Jahr 2020 identifiziert und wird von anderen Security-Forschern zuweilen als FatalRAT bezeichnet. Seit April 2023 hat Proofpoint fast 20 Kampagnen identifiziert, bei denen Sainbox verwendet wurde, nachdem sie zuvor jahrelang völlig aus der E-Mail-Bedrohungslandschaft verschwunden war.

Bei Gh0stRAT handelt es sich um einen Remote Access Trojaner, der erstmals im Jahr 2008 beobachtet wurde. Der Builder für diesen RAT ist online verfügbar und auch der Quellcode ist öffentlich zugänglich. Im Laufe der Jahre wurde Gh0stRAT von mehreren Autoren und Cybercrime-Gruppen in verschiedenen Varianten verändert. Dazu zählen auch abgezweigte Varianten wie Sainbox. 2023 hat Proofpoint auch eine Handvoll chinesischsprachiger Kampagnen beobachten können, bei denen ältere Gh0stRAT-Varianten verbreitet wurden.

Fast alle beobachteten Sainbox-Kampagnen nutzten als Köder das Thema Rechnungen. Die E-Mails wurden in der Regel von Outlook- bzw. Freemail-E-Mail-Adressen verschickt und enthielten URLs oder Excel-Anhänge mit URLs, die auf eine gezippte ausführbare Datei verwiesen, mit deren Hilfe Sainbox installiert werden sollte.

Am 17. Mai 2023 beobachtete Proofpoint zum Beispiel eine Kampagne, die auf Dutzende von Unternehmen abzielte, von denen die meisten im Fertigungs- und Technologiebereich tätig waren.

Die Analyse des neu entdeckten ValleyRAT deutet darauf hin, dass möglicherweise eine Gruppe sowohl hinter den neuen Malware-Kampagnen als auch hinter dem Wiederauftauchen der älteren Malware-Varianten Purple Fox und Sainbox steckt.