Malware vom "Finanzamt": Gezielte Angriffswellen aus China

Die chinesische Hackergruppe TA4922 greift zunehmend gezielt Unternehmen und Organisationen in Deutschland an. Bei den technisch und inhaltlich mit KI-Hilfe hoch professionell gestalteten Attacken gibt sie sich unter anderem als Finanzamt aus oder imitiert Mails aus der Personalabteilung.

Wenn das Finanzamt einem Unternehmen eine Steuerprüfung ankündigt, ist das per se keine sonderlich angenehme Nachricht. Noch deutlich unangenehmer kann es jedoch werden, wenn sich hinter der Betriebsprüfung gar keine echten Finanzbeamten verbergen, sondern chinesische Hacker, die den psychologischen Druck nutzen, um Malware einzuschleusen. Ein Fall, der in den letzten Monaten in Deutschland häufiger auftritt, und der nur die Spitze des Eisbergs einer gezielten KI-gestützten Angriffswelle aus China ist, wie die Cybersecurity-Experten von Proofpoint warnen.

Sie haben in den letzten Monaten bereits mehrere solcher Angriffe beobachtet, bei denen die hoch glaubwürdig wirkenden Nachrichten den Eindruck erwecken, vom Finanzamt München zu stammen. Auch die darin enthaltenen URLs führen zu einer Landing Page, die optisch detailliert ein offizielles deutsches Steuerportal imitiert und eine Schaltfläche zum Herunterladen der auszufüllenden Steuerprüfungsdokumente bereitstellt. Wer angesichts dieses überzeugenden Auftritts und der damit suggerierten Dringlichkeit den einzig wirklich auffälligen Hinweis übersieht, dass die Domain nwphotoblog.com sicher nicht zum Finanzamt der bayerischen Landeshauptstadt gehört, tappt mitten in die Falle und holt sich damit die Malware RomulusLoader auf den Rechner, die sich hinter legitimen Prozessen versteckt und über die weitere Schadsoftware nachgeladen werden kann. Dabei missbrauchten die Angreifer unter anderem das legitime Fernwartungstool SyncFuture dazu, um sich dauerhaften Zugriff auf die Rechner und Daten sowie Möglichkeiten zur lateralen Verbreitung im Firmennetzwerk zu sichern.

TA4922 nimmt Deutschland und Europa ins Visier

Als Verursacher hinter dieser perfiden Masche hat Proofpoint die Hackergruppe TA4922 identifiziert. Bislang vor allem im asiatischen Raum aktiv, hat diese nun offensichtlich deutsche Unternehmen und Einrichtungen als lohnende Zielgruppe identifiziert. Denn die Finanzamt-Masche ist nur ein Puzzleteil einer breiteren Welle gezielter Angriffe von TA4922 in Deutschland. Bei einer anderen Kampagne nutzen die Cyberkriminellen nachgeahmte interne Gehaltsbenachrichtigungen als Köder in ihren E-Mails, mit denen die Empfänger dazu verleitet werden sollen, ein passwortgeschütztes ZIP-Archiv herunterzuladen. Auch hier wird die Glaubwürdigkeit wieder erhöht, indem den Opfern zunächst eine CAPTCHA-artigen Verifikation und anschließend ein imitiertes internes Gehaltsabrechnungssystem präsentiert wird. Statt der erhofften Gehaltserhöhung enthält der Download jedoch den modularen Backdoor-Trojaner Atlas RAT. Dieser bietet den Angreifern eine ganze Palette an Funktionen, die ihnen unter anderem Fernzugriff, Keylogging, Webcam und Mikrofonsteuerung sowie Bildschirmaufnahmen erlauben und verfügt zur Tarnung zudem über eine aktive Sandbox-Erkennung und verschlüsselte C2-Kommunikation.

Ein ähnliches Muster haben die Security-Fachleute zudem bereits im April bei Angriffen in Deutschland und Großbritannien beobachtet, bei denen andere interne HR-Mitteilungen als Köder eingesetzt wurden. Auch hier wurden die Empfänger zum Download von ZIP-Archiven mit Namen wie "Paperwork.zip" oder "HR (2).zip" animiert, in denen sich neben einer legitimen ausführbaren Datei auch eine bösartige DLL versteckte, die Atlas RAT per Sideloading installierte. Bei allen Angriffen deuten die äußerst glaubwürdig gemachten Inhalte darauf hin, dass die Hacker sich der Hilfe von LLMs bedienen.

So schützen sich Firmen vor den Hackerangriffen aus China

Zu den weiteren von TA4922 bei den Attacken genutzten Tools zählt unter anderem auch der SilentRunLoader, der zwei Funktionen in einem Werkzeug vereint: das Nachladen weiterer Schadsoftware und die stille Exfiltration von Chrome-Zugangsdaten, Cookies und Browserdaten. Die Security-Spezialisten gehen davon aus, dass er mit Hilfe eines Sprachmodells generiert wurde, da im Quellcode unter anderem ein unveränderter API-Schlüsselplatzhalter entdeckt wurde. Dazu kommt außerdem eine modifizierte Version des bekannten modularen Remote-Access-Frameworkn ValleyRAT (Winos4.0), das eine vollständig RC4-verschlüsselte Konfiguration aufweist und mit einer bewusst aufgeblähten Codebase versucht, gängige Endpoint-Schutzlösungen zu umgehen.

Empfohlene Schutzmaßnahmen: Rechte einschränken, Awareness steigern

Der hohe technische und inhaltliche Anpassungsgrad und die rapide Geschwindigkeit, mit der die Akteure ihre Angriffe und die verwendeten Schädlinge anpassen, machen es Unternehmen und anderen Organisationen schwer, sich dagegen zu wappnen.

Um sich auf technische Ebene bestmöglich vor den Malwareangriffen der chinesischen Akteure zu schützen, empfiehlt Proofpoint Unternehmen und Organisationen,

• die Ausführung von Programmen aus temporären Verzeichnissen wie %TEMP% und %APPDATA% zu unterbinden,
• Netzwerkverkehr auf ungewöhnlichen Ports wie 1234 für nicht freigegebene Prozesse zu blockieren sowie
• ausführbare Dateien in Systemverzeichnissen und dem Stammverzeichnis C: aktiv zu überwachen.
• Hinzu kommt die konsequente Einschränkung lokaler Administratorrechte nach dem Least-Privilege-Prinzip, mit der sich die Angriffsfläche deutlich reduzieren lässt.

Organisatorisch gilt es, die Awareness der Mitarbeiter für die Angriffsmaschen, die verwendeten Köder und die genutzten Pfade zu erhöhen, insbesondere in besonders gefährdeten Abteilungen wie Buchhaltung, HR und Finanzen. Darüber hinaus sollte die Gelegenheit genutzt werden, alle Angestellten erneut dafür zu sensibilisieren, dass E-Mails mit Links zu Dateihosting-Diensten wie GoFile, LimeWire oder MediaFire mit erhöhter Vorsicht zu behandeln sind.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden