Die Cybergruppierung APT31 nutzt eine neue Malware, um Daten von Air-Gap-Systemen zu exfiltrieren. Air-Gap-Systeme sind entweder durch Software und Netzwerkgeräte oder physisch vom Unternehmensnetzwerk und dem Internet isoliert. Bei APT31 handelt es sich mutmaßlich um eine chinesische, staatlich geförderte Cybergruppierung.
Bei ihrem Vorgehen setzt die Gruppierung ihre charakteristische Malware-Familie „FourteenHi“ sowie mindestens 15 unterschiedliche Implantate je nach Angriffsphase ein.
Laut Kaspersky begannen die Angriffe bereits im April 2022 und bestehen aus drei Phasen. In der ersten Phase stellen die Implantate Persistenz und Fernzugriff auf die kompromittierten Systeme her. Darüber hinaus sammeln sie Daten, die für die weitere Aufklärung nützlich sein könnten.
In der zweiten Phase platziert APT31 weitere spezialisierte Malware, die Daten von Air-Gap-Systemen ausleiten kann, um schließlich in der letzten Phase die Daten auf C2-Server der Gruppierung zu laden.
Kaspersky hebt dabei das verdeckte Vorgehen von APT31 hervor und listet deren verwendete Taktiken, Techniken und Prozeduren (TTPs) auf:
- Hijacking von DLL-Befehlen, um maliziöse Payloads in den Speicher (RAM) zu laden,
- Verstecken von verschlüsselten Payloads in separaten Binärdateien.
Das Sicherheitsunternehmen stellt einen technischen Bericht, Malware-Hashes, Indicators of Compromise (IoC) sowie Detektionsregeln für mögliche Malware-Aktivitäten zur Verfügung.
Die Cyberabwehr des Landesamts für Verfassungsschutz rät daher, entsprechende Systeme anhand der von Kaspersky zur
Verfügung gestellten technischen Indikatoren und Detektionsregeln zu prüfen. Verdächtige Aktivitäten sollten den
Sicherheitsbehörden gemeldet werden.