Proofpoint-Forscher beobachteten, dass der APT-Akteur TA416 nach einer kurzen Pause, die mit dem chinesischen Nationalfeiertag im September zusammenfiel, seine böswilligen Aktivitäten mit einer neuen Malware-Variante wieder aufnahm. TA416, auch bekannt als „Mustang Panda“ und „Red Delta“, ist eine chinesische Advanced Persistent Threat (APT)-Gruppe, die ihren PlugX-Malware-Loader in gezielten Kampagnen einsetzt. Es ist bekannt, dass die Gruppe ihre Tools geändert hat, um einer Entdeckung zu entgehen und die Analyse für Sicherheitsforscher zu erschweren. Proofpoint beobachtete eine neue Phishing-Aktivität von TA416, die auf Unternehmen abzielte, die mit diplomatischen Beziehungen zwischen dem Vatikan und der Kommunistischen Partei Chinas (KPCh) in Verbindung stehen. Die Gruppe hat auch Unternehmen in Myanmar sowie Organisationen ins Visier genommen, die diplomatische Bemühungen in Afrika durchführen. Die neueste TA416-Phishing-Kampagne nutzt Social-Engineering-Köder, die sich auf die vorläufige Vereinbarung namens „Vatikanischer Heiliger Stuhl“ beziehen, die kürzlich zwischen dem Vatikan und der KPCh erneuert wurde. Es wurden auch gefälschte E-Mail-Header-Felder entdeckt, die offenbar Reporter der Union of Catholic Asia News imitieren.
Malware PlugX
Proofpoint-Forscher haben zwei RAR-Dateien identifiziert, die als PlugX-Malware-Dropper dienen. In der Vergangenheit fügte TA416 seinen Phishing-E-Mails Google Drive- oder Drobox-URLs hinzu, die zur Zustellung von Dateien mit PlugX-Malware und zugehörigen Komponenten verwendet wurden. Wie ThreatPost berichtet, ermöglicht das PlugX Remote Access Tool (RAT) einem Remote-Benutzer, ohne Autorisierung oder Autorisierung Daten zu stehlen und sogar die Kontrolle über betroffene Systeme zu übernehmen. PlugX gibt dem Angreifer die Möglichkeit, Dateien zu kopieren, zu verschieben, umzubenennen, auszuführen und zu löschen sowie Tastenanschläge, Fingerabdrücke infizierter Systeme und mehr zu protokollieren. Dieses Mal identifizierte Proofpoint die Schadsoftware TA416 PlugX jedoch als Golang-Binärdatei. Diese Art von Datei wurde von der Gruppe bisher noch nicht verwendet, die Funktionalität der Malware bleibt jedoch im Wesentlichen dieselbe. Das Forschungsteam von Proofpoint lieferte in einem neuen Bericht zusätzliche Informationen zu seinen Ergebnissen und sagte: „Die anhaltenden Aktivitäten von TA416 zeigen, dass ein hartnäckiger Gegner schrittweise Änderungen an dokumentierten Toolsets vornimmt, damit sie bei der Durchführung von Spionagekampagnen gegen globale Ziele effektiv bleiben können.“ Die Einführung eines Golang-PlugX-Loaders zusammen mit den laufenden Verschlüsselungsbemühungen für PlugX-Nutzlasten lässt darauf schließen, dass sich die Gruppe möglicherweise einer erhöhten Erkennung ihrer Tools bewusst ist und als Reaktion auf Beiträge im Zusammenhang mit ihren Kampagnen Anpassungen zeigt. Diese Tool-Optimierungen in Kombination mit der wiederkehrenden Überprüfung der Befehls- und Kontrollinfrastruktur lassen darauf schließen, dass TA416 weiterhin diplomatische und religiöse Organisationen ins Visier nehmen wird.