Chinesische Hacker haben Netzwerkgeräte mit Malware ins Visier genommen, was ihnen dauerhaften Zugriff und die Möglichkeit zur Ausführung verschiedener Aktionen gab. Ein neuer Bericht von Cybersecurity-Forschern von Fortiguard (Teil von Fortinet) nannte die Kampagne „ELF/SShdinjector.A!tr“ und führte den Angriff auf Evasive Panda zurück, auch bekannt als Daggerfly oder BRONZE HIGHLAND, eine chinesische Advanced Persistent Threat (APT)-Gruppe, die mindestens seit 2012 aktiv ist.

Die Gruppe ist hauptsächlich in der Cyber-Spionage tätig und zielt auf Einzelpersonen, Regierungseinrichtungen und Organisationen ab. In der Vergangenheit führte sie Operationen gegen Entitäten in Taiwan, Hongkong und der tibetischen Gemeinschaft durch. Es ist nicht bekannt, wer die Opfer dieser Kampagne waren.

Fortiguard diskutierte nicht den Erstzugriff, daher ist nicht klar, wie Evasive Panda die Malware bereitstellen konnte. Es wird vermutet, dass schwache Anmeldedaten, bekannte Sicherheitslücken oder bereits mit Backdoors infizierte Geräte betroffen waren. Jedenfalls wurde beobachtet, wie Evasive Panda Malware in den SSH-Daemon auf den Geräten einschleuste, was eine Vielzahl von Aktionen ermöglichte.

Zum Beispiel konnten die Hacker Systemdetails abrufen, sensible Benutzerdaten lesen, auf Systemprotokolle zugreifen, Dateien hoch- oder herunterladen, eine Remote-Shell öffnen, Befehle aus der Ferne ausführen, bestimmte Dateien vom System löschen und Benutzeranmeldeinformationen extrahieren.

Fortiguard erwähnte auch die Rückwärtsentwicklung und Analyse von Malware mit KI. Während sie betonten, dass es übliche KI-bezogene Probleme wie Halluzinationen und Auslassungen gab, lobten die Forscher das Potenzial des Tools.

Dabei wurde auch auf die jüngste Aktivität der Daggerfly-Gruppe hingewiesen, die im Juli 2024 beobachtet wurde, als die Gruppe macOS-Benutzer mit einer aktualisierten Version ihrer proprietären Malware anvisierte. Ein Bericht von Symantec deutete darauf hin, dass die neue Variante höchstwahrscheinlich eingeführt wurde, da ältere Varianten zu stark exponiert waren.

In dieser Kampagne verwendete die Gruppe ein Stück Malware namens Macma, ein macOS-Backdoor, das erstmals 2020 beobachtet wurde. Nach wie vor ist nicht bekannt, wer es entwickelt hat. Als modularer Backdoor hat Macma Schlüsselfunktionen wie Geräteerkennung, Ausführen von Befehlen, Bildschirmaufzeichnungen, Keylogging, Audioerfassung und das Hochladen/Herunterladen von Dateien von den kompromittierten Systemen.

Abschließend: Chinesische Hacker haben Netzwerkgeräte mit Malware angegriffen, was ihnen weitreichende Zugriffsmöglichkeiten bot. Die Forscher von Fortiguard haben diese Aktivitäten analysiert und diskutieren zusätzlich die Anwendung von KI in der Malware-Analyse.