APT41, eine mit dem chinesischen Staat verbundene APT-Gruppe, hat gezielte Angriffe auf IT-Dienste afrikanischer Behörden gestartet. Bekannt für weltweite Operationen im Bereich Telekommunikation, Energie und Bildung, verschiebt die Gruppe nun ihren Fokus.
Diese neue Offensive unterstreicht frühere Hinweise, dass Afrika seit Ende 2022 stärker ins Visier geraten ist.
Erste Kompromittierung und C2-Mechanismus
Kaspersky entdeckte verdächtige Aktivitäten in einer afrikanischen Organisation. Die Angreifer verwendeten fest eincodierte IPs, interne Dienstnamen und setzten einen kompromittierten SharePoint-Server als Command-and-Control-System (C2) ein.
Über einen nicht überwachten Host führten sie Impacket im Kontext eines Servicekontos aus. Danach stoppten sie ihre Aktivität kurzzeitig zur Tarnung.
Rechteausweitung und Einsatz von Cobalt Strike
Nach dem Eindringen stahlen die Angreifer privilegierte Zugangsdaten und bewegten sich seitlich im Netzwerk. Cobalt Strike diente als Plattform zur dauerhaften Kommunikation mit den kompromittierten Geräten.
Eingesetzte DLLs überprüften Spracheinstellungen – Systeme mit Chinesisch, Japanisch oder Koreanisch wurden ausgelassen, um eine Entdeckung in der eigenen Region zu vermeiden.
SharePoint als verdeckter Kontrollkanal
Ein SharePoint-Server diente als Kontrollzentrum. Dateien wie agents.exe und agentx.exe, übertragen per SMB, fungierten als Trojaner in C#, gesteuert über die Web-Schnittstelle CommandHandler.aspx.
Dieser sogenannte Living-off-the-Land-Angriff nutzt vertraute Dienste zur Tarnung. Genutzt wurden MITRE ATT&CK-Techniken wie T1071.001 und T1047.
Schadcode aus dem Internet und Reverse Shells
Im weiteren Verlauf wurden wertvolle Zielsysteme mit HTML Applications (HTA) aus einem GitHub-ähnlichen Domain (github.githubassets[.]net) infiziert. Diese HTA-Dateien öffneten eine Reverse Shell, die vollständige Fernsteuerung ermöglichte.
Exfiltration und genutzte Tools
Für den Datendiebstahl nutzte APT41 ein Arsenal aus bekannten und angepassten Tools:
-
Modifizierter Pillager für Browser-Logins, FTP/SSH, Screenshots, E-Mails, Systemdaten
-
Checkout für Kreditkartendaten und Downloads aus Browsern wie Chrome, Brave, Opera
-
RawCopy für Windows-Registry-Dateien
-
Mimikatz zur Extraktion von Zugangsdaten
Die Kombination aus öffentlich verfügbaren und maßgeschneiderten Tools erschwert die Erkennung erheblich.
Fazit für IT-Sicherheitsabteilungen
APT41 zeigt, wie gefährlich moderne Cyberakteure agieren: schnell, anpassungsfähig und schwer zu erkennen. Unternehmen müssen ihre Verteidigungsmechanismen erweitern, um auch interne Dienste als mögliche Angriffsvektoren zu berücksichtigen.
SOC-Teams sollten vor allem SharePoint-Verkehr, laterale Bewegungen und verdächtige C2-Kommunikation im Blick behalten.
Lesen Sie den vollständigen Artikel von The Hacker News.
Nutzen Sie unsere Cybersecurity-Dienstleistungen, um moderne APTs wie APT41 frühzeitig zu erkennen und erfolgreich abzuwehren.
