Chinese malware duikt op in heel het dreigingslandschap voor cybercriminaliteit
Proofpoint neemt sinds begin dit jaar een toename waar in de verspreiding van malware per mail dat in verband wordt gebracht met vermoedelijke Chinese cybercrime activiteiten. Dit omvat de pogingen tot levering van de Sainbox Remote Access Trojan (RAT), een variant van de commodity trojan Gh0stRAT, en de recent geïdentificeerde ValleyRAT-malware. Deze malware kwam jarenlang niet voor in de data van Proofpoint. Het verschijnen ervan in meerdere campagnes in het afgelopen half jaar is daarom extra opmerkelijk.
De uitdrukking ‘met Chinees thema’ wordt gebruikt om alle waargenomen inhoud met betrekking tot deze kwaadwillende activiteit te beschrijven, inclusief lokmiddelen, malware, targeting en alle metagegevens die Chinees taalgebruik bevatten. Over het algemeen zijn de campagnes kleinschalig. Verder worden ze verspreid naar organisaties wereldwijd, die actief zijn in China. De onderwerpen en inhoud van de e-mails zijn meestal in het Chinees en hebben betrekking op zakelijke onderwerpen, zoals facturen, betalingen en nieuwe producten. De beoogde gebruikers hebben Chinese namen, weergegeven in Chinese karakters, of specifieke e-mailadressen van bedrijven die lijken aan te sluiten bij de activiteiten van bedrijven in China. Hoewel de meeste campagnes zich richten op gebruikers die Chinees spreken, nam Proofpoint één campagne waar die gericht was op een Japanse organisatie. Dit duidt op een mogelijke uitbreiding van de activiteit.
De opkomst en opleving van zowel nieuwe als oudere malware met een Chinees thema laat een nieuwe trend zien in heel het dreigingslandschap van 2023. Een mix van historische malware, zoals Sainbox – een variant van de oudere Gh0stRAT-malware, en de onlangs ontdekte ValleyRAT, kan de dominantie van de Russische cybercrime markt in het dreigingslandschap uitdagen. De malware met het Chinese thema is momenteel vooral gericht op gebruikers die waarschijnlijk Chinees spreken.
Campagne details
Gh0stRAT/Sainbox
Proofpoint nam een toename van een variant van Gh0stRAT waar, die onderzoekers van het bedrijf Sainbox noemen. Proofpoint identificeerde deze variant voor het eerst in 2020. Externe onderzoekers noemen Sainbox ookwel FatalRAT. Sainbox was jarenlang volledig afwezig in het dreigingslandschap van e-maildreigingen, maar sinds april 2023 identificeerde Proofpoint bijna 20 campagnes die Sainbox afleveren.
Gh0stRAT is een RAT die voor het eerst werd waargenomen in 2008. De bouwer van deze RAT is online beschikbaar. De broncode is ook openbaar en in de loop der jaren hebben meerdere auteurs en dreigingsactoren verschillende wijzigingen aangebracht in Gh0stRAT. In 2023 stelde Proofpoint ook een handvol Chinese campagnes vast die de oudere Gh0stRAT-varianten leverden.
Bijna alle geobserveerde Sainbox-campagnes maakten gebruik van lokkers met een factuurthema, waarin Chinese kantoor- en factureringsbedrijven werden nagebootst. De e-mails werden meestal via Outlook, of andere gratis e-mailadressen verstuurd en bevatten URL’s of Excel-bijlagen met daarin URL’s, die doorlinkten naar een zip-bestand waarmee Sainbox werd geïnstalleerd.
Proofpoint analyseerde op 17 mei 2023 een campagne die zich richtte op tientallen bedrijven, voornamelijk in de productie- en technologiesector. De e-mails zagen er als volgt uit:
Van: "友发票 " <lwplbh@cluedk[.]com> (Machinevertaling: “UF Factuur”)
Onderwerpregel:《发票信息》(Machinevertaling: “Factuurinformatie”)
Figuur 1: voorbeeld van een e-mail met Sainbox, ontvangen op 17 mei 2023.
De meeste Sainbox RAT-campagnes vonden plaats tussen december 2022 en mei 2023.
Purple Fox
Purple Fox is al sinds 2008 beschikbaar en wordt geleverd via verschillende methoden, waar de Purple Fox Exploit Kit in het verleden deel van uitmaakte. In de afgelopen jaren werden in openbare rapporten voorbeelden geïdentificeerd van de levering van Purple Fox malware die zich voordeden als legitieme applicatie-installateurs.
Proofpoint identificeerde minstens drie campagnes die Purple Fox afleverden. Hoewel de historische activiteit overeenkomt met wat Proofpoint als Chinees thema beschouwd, worden deze zelden waargenomen in de dreigingsgegevens van het bedrijf. Opvallend was een campagne waarbij Japanse factuurthema’s, met als doel Japanse organisaties een zip-bestand met LNK-bijlagen te leveren, wat leidde tot de installatie van Purple Fox. Andere campagnes daarentegen bevatte Chinese factuurthema’s met URL’s die leidden naar Purple Fox.
Proofpoint schrijft op dit moment niet alle malwarcampagnes met een Chinees thema toe aan dezelfde dreigingsactor, maar sommige activiteitenclusters overlappen elkaar. Dit wijst erop dat de actoren mogelijk gebruikmaken van dezelfde infrastructuur met als doel meerdere malwarefamilies te leveren.
ValleyRAT: een nieuwe malware
In maart 2023 identificeerde Proofpoint een nieuwe malware, ValleyRAT. De campagnes die deze malware verspreidden werden uitgevoerd in het Chinees en, in navolging van de trend van andere Chinese malware campagnes, gebruikten de meeste campagnes factuurthema’s die gerelateerd waren aan verschillende Chinese bedrijven. Proofpoint nam in 2023 minstens zes campagnes met ValleyRAT-malware waar.
Het Chinese cybersecurity bedrijf Qi AnXin maakte eerder dit jaar ValleyRAT openbaar.
De meeste campagnes gebruikten lokmiddelen met een factuurthema, maar Proofpoint nam op 24 mei 2023 een uitzonderlijke campagne waar, waarbij cv's in de vorm van pdf-bestanden werden gebruikt. De URL’s in de cv’s bevatten een extern gezipte payload die vervolgens ValleyRAT installeerden.
Analyse van de recentelijk waargenomen ValleyRAT geeft aan dat mogelijk één groep achter zowel de nieuwe malware campagnes als de heropleving van de oudere Purple Fox-en Sainbox-malware zit. Maar, volgens experts is de timing eerder toevallig dan direct toe te schrijven aan deze groep.
Conclusie
Gh0stRAT en andere gelijksoortige varianten worden al meer dan tien jaar consequent gebruikt in verschillende kringen. Proofpoint nam onlangs een kleine opleving waar in het gebruik van Sainbox en andere malware met een Chinees thema, wat de interesse wekt van analisten die de bredere impact van oudere malware beoordelen. Hoewel deze vormen van malware niet nieuw zijn, kunnen organisaties het zich niet veroorloven om het risico te onderschatten.
Door in 2023 het bewustzijn rondom deze bedreigingen te verhogen, zorgt dit ervoor dat de community over de meest recente kennis beschikt. Hoewel nieuw en geavanceerde bedreigingen in het dagelijkse dreigingslandschap lijken te domineren, is het cruciaal om een evenwichtig perspectief te behouden door minder belangrijke risico’s te erkennen die blijven bestaan. Ondanks dat Sainbox RAT niet nieuw of geavanceerd is, vormt het nog steeds een bedreiging in 2023. Hierbij is ValleyRAT een opkomende bedreiging.
Lees de volledige blog hier.