SentinelLabs, de onderzoeksafdeling van SentinelOne, heeft cyberaanvallen ontdekt die gericht zijn op Russische organisaties. Er zijn sterke aanwijzingen dat de door de Chinese staat gesponsorde cyberspionagegroep APT verantwoordelijk is voor de aanval. Oekraïense CERT (CERT-UA), het nationale Computer Emergency Response Team van Oekraïne, deelt dit vermoeden.
Bij de aanvallen worden phishing-e-mails ingezet met daarin Office-documenten die na het openen een Remote Access Tool installeren. Hierdoor kan de hacker vanaf één basiscomputer inloggen op alle geregistreerde computers en deze op afstand beheren. SentinelLabs heeft activiteiten geïdentificeerd met vergelijkbare aanvalstechnieken die zijn gericht op telecommunicatie organisaties in Pakistan.
Royal Road
Op 22 juni 2022 heeft CERT-UA in een alert een verzameling documenten openbaar gemaakt die zijn gemaakt met Royal Road, een document builder die veel wordt gebruikt door Chinese APT-groepen en op Russische overheden is gericht. De backdoor RAT Bisonal wordt voornamelijk door Chinese aanvallers ingezet.
De bevindingen van SentinelLabs geven op dit moment nog een incompleet beeld van de phishing-activiteiten. Ze verschaffen echter wel inzicht in de doelen van de aanvaller. Royal Road-documenten bevatten namelijk inhoudelijke informatie die relevant is voor hun doelwitten. Daaruit valt af te leiden dat de doelwitten waarschijnlijk Russische overheidsorganisaties zijn. Het is duidelijk dat Chinese cyberspionagegroepen – in meerdere campagnes die na de invasie van Oekraïne plaatsvonden – het gemunt hebben op een breed scala aan organisaties met Russische links.
Vermoedelijke betrokkenheid van Tonto Team
De bestanden en infrastructuur zouden gelinkt kunnen worden aan de APT-groep Tonto Team (ook bekend als “CactusPete” en “Earth Akhlut”), een Chinese cyberspionagegroep waarover al bijna tien jaar wordt gerapporteerd. Dit verband is echter niet waterdicht, omdat er een mogelijkheid bestaat dat Chinese aanvallers middelen delen waardoor exacte toeschrijving aan een bepaalde groep onzeker is. De bekende doelwitten zijn verspreid over de hele wereld, maar bevinden zich met name in Noordoost-Azië. Regeringen, kritieke infrastructuur en andere, particuliere ondernemingen zijn voornamelijk doelwit. De doelen van deze aanvallen lijken gerelateerd te zijn aan spionage, maar de bredere context is vooralsnog onduidelijk.
Lees het blog voor de technische specificaties.
