Cybersicherheitsexperten des Solar 4RAYS Threat Intelligence Centers haben eine neue Advanced Persistent Threat (APT) Gruppe identifiziert, die sie als „Obstinate Mogwai“ bezeichnen. Diese Gruppe hat es auf staatliche Einrichtungen, IT-Unternehmen und deren Auftragnehmer in Russland abgesehen, mit dem Hauptziel der Cyberspionage.
Hartnäckige Angriffsmethoden und Ziele
Die Forscher berichten, dass sie zwischen 2023 und Anfang 2024 Angriffe von Obstinate Mogwai auf mindestens vier russische Organisationen untersucht haben. Die Gruppe nutzt eine Vielzahl von Techniken, um in Zielnetzwerke einzudringen, darunter die Ausnutzung öffentlich zugänglicher Dienste, Zugriff über Auftragnehmer und die Verwendung legitimer Konten. Besonders bemerkenswert ist die Hartnäckigkeit der Gruppe, die immer wieder versucht, in bereits angegriffene Systeme zurückzukehren, selbst nachdem der Zugang blockiert wurde.
Einzigartige Malware-Tools im Einsatz
Bei ihren Angriffen setzt Obstinate Mogwai sowohl bekannte als auch neue Malware-Tools ein. Zu den identifizierten Werkzeugen gehören:
- KingOfHearts
- TrochilusRAT
- Donnect (neuer Backdoor)
- DimanoRAT (neuer Backdoor)
Diese Kombination aus etablierten und neuen Tools deutet auf eine ständige Weiterentwicklung der Fähigkeiten der Gruppe hin.
Detaillierte Analyse eines Angriffs
Ein besonders aufschlussreicher Fall ereignete sich im Januar 2024, als Obstinate Mogwai eine nicht näher bezeichnete russische Regierungsorganisation ins Visier nahm. Der Angriff wurde in einem frühen Stadium entdeckt, da die Hacker Command-and-Control-Server verwendeten, die den Sicherheitsexperten bereits bekannt waren.
Angriffsvektoren und Ziele
Die Gruppe zeigte ein besonderes Interesse an Exchange-Servern, die häufig als Einstiegspunkt in die Infrastruktur der Opfer dienten. In diesem Fall versuchten die Angreifer, sich in der Infrastruktur festzusetzen und den Angriff mittels .Net-Deserialisierung auszuweiten. Ihr Hauptziel war der Zugriff auf vertrauliche Dokumente und wertvolle Informationen von verschiedenen Mitarbeitersystemen sowie Terminalserver für den Zugang zu elektronischen Dokumentenmanagementsystemen.
Ungewöhnliche Entdeckung durch PAM-System
Eine bemerkenswerte Wendung nahm der Fall, als die Aktivitäten der Hacker durch das Privileged Access Management (PAM) System Solar SafeInspect aufgezeichnet wurden. Dieses System zeichnet automatisch die Bildschirmaktivitäten privilegierter Benutzerkonten auf. Die nächtlichen Aktivitäten der Angreifer wurden so detailliert dokumentiert, was einen seltenen Einblick in ihre Vorgehensweise ermöglichte.
Verbindungen zu anderen APT-Gruppen
Die Forscher haben Überschneidungen zwischen Obstinate Mogwai und anderen APT-Gruppen aus der asiatischen Region festgestellt. Insbesondere gibt es signifikante Ähnlichkeiten mit der Gruppe IAmTheKing (auch bekannt als PowerPool). Dies legt die Vermutung nahe, dass Obstinate Mogwai möglicherweise ein Nachfolger von IAmTheKing mit einem aktualisierten Toolkit sein könnte.
Die Entdeckung und Analyse von Obstinate Mogwai unterstreicht die Notwendigkeit einer kontinuierlichen Wachsamkeit und Verbesserung der Cybersicherheitsmaßnahmen. Organisationen, insbesondere im staatlichen Sektor und in der IT-Branche, sollten ihre Sicherheitsprotokolle überprüfen, Multi-Faktor-Authentifizierung implementieren und ein robustes Monitoring-System für privilegierte Konten einrichten. Nur durch proaktive Maßnahmen und ständige Anpassung an neue Bedrohungen können Unternehmen sich gegen solch hartnäckige und raffinierte Angreifer schützen.
