ZURÜCK ZU NACHRICHTEN
Eilmeldung

Chinesische APT nutzt SaaS-APIs in globaler Spionagekampagne gegen Telekommunikation und Behörden

3 Min. LesezeitQuelle: BleepingComputer

Google und Mandiant unterbrechen eine hochentwickelte Cyberspionage-Kampagne eines chinesischen APT-Akteurs. Erfahren Sie, wie SaaS-API-Missbrauch für Datendiebstahl genutzt wurde.

Chinesischer staatlich unterstützter Bedrohungsakteur nutzt SaaS-APIs in globaler Spionagekampagne

Googles Threat Intelligence Group (GTIG) und Mandiant haben in Zusammenarbeit mit Industriepartnern eine hochentwickelte Cyberspionage-Kampagne unterbrochen, die einem mutmaßlichen chinesischen Advanced Persistent Threat (APT)-Akteur zugeschrieben wird. Die Operation, die Telekommunikationsanbieter und Behörden weltweit ins Visier nahm, nutzte SaaS-API-Missbrauch, um schädlichen Datenverkehr innerhalb legitimer Netzwerkaktivitäten zu verbergen.

Wichtige Erkenntnisse und technische Details

Der Bedrohungsakteur, von Mandiant als UNC5537 verfolgt, nutzte Software-as-a-Service (SaaS)-Application Programming Interfaces (APIs), um schädliche Kommunikation mit normalem Datenverkehr zu vermischen. Diese Technik ermöglichte es den Angreifern, der Erkennung zu entgehen, während sie sensible Daten aus kompromittierten Netzwerken exfiltrierten.

  • Ziele: Dutzende Telekommunikationsunternehmen und Regierungsbehörden in mehreren Regionen.
  • Taktiken, Techniken und Verfahren (TTPs):
    • SaaS-API-Missbrauch: Die Angreifer nutzten legitime SaaS-Plattform-APIs, um Command-and-Control (C2)-Kommunikation zu tarnen.
    • Persistenzmechanismen: Die Angreifer erhielten Zugang zu Opfernetzwerken durch kompromittierte Anmeldedaten und Backdoors.
    • Datenexfiltration: Sensible Informationen, darunter Anrufprotokolle und interne Kommunikation, wurden vermutlich während der Kampagne abgezogen.

Obwohl Google und Mandiant keine spezifischen CVE-IDs im Zusammenhang mit den Angriffen veröffentlicht haben, unterstreicht die Operation den wachsenden Trend von API-basierten Bedrohungen in der Cyberspionage. SaaS-Plattformen, die von Organisationen oft als vertrauenswürdig eingestuft werden, bieten einen attraktiven Angriffsvektor für Bedrohungsakteure, die traditionelle Sicherheitskontrollen umgehen möchten.

Auswirkungsanalyse

Der Fokus der Kampagne auf Telekommunikationsanbieter und Regierungsbehörden deutet auf ein strategisches Interesse an Nachrichtengewinnung und Überwachung hin. Kompromittierte Telekommunikationsnetzwerke könnten es Angreifern ermöglichen:

  • Kommunikation hochrangiger Ziele zu überwachen.
  • Kritische Infrastruktur im Falle geopolitischer Eskalation zu stören.
  • Eigentums- oder klassifizierte Informationen für Wettbewerbs- oder strategische Vorteile zu stehlen.

Die Nutzung von SaaS-API-Missbrauch zeigt eine Veränderung in den Taktiken von APT-Akteuren, da traditionelle Erkennungsmethoden (z. B. signaturbasierte Überwachung) möglicherweise schädlichen Datenverkehr, der als legitime API-Aufrufe getarnt ist, nicht identifizieren können.

Empfehlungen für Sicherheitsteams

Organisationen, insbesondere solche in den Telekommunikations- und Regierungssektoren, sollten folgende Schritte ergreifen, um ähnliche Bedrohungen zu mindern:

  1. API-Sicherheit verbessern

    • Ratenbegrenzung, Authentifizierung und Anomalieerkennung für die Nutzung von SaaS-APIs implementieren.
    • Ungewöhnliche API-Aufrufmuster überwachen, die auf Datenexfiltration hindeuten könnten.

  2. Anmeldeinformationshygiene stärken

    • Mehrfaktorauthentifizierung (MFA) für alle privilegierten Konten durchsetzen.
    • Regelmäßige Anmeldeinformationsprüfungen durchführen, um kompromittierte Konten zu erkennen.

  3. Netzwerküberwachung optimieren

    • Verhaltensanalysen einsetzen, um ungewöhnliche Datenflüsse zu erkennen, auch innerhalb verschlüsselter SaaS-Kanäle.
    • Kritische Netzwerke segmentieren, um die laterale Bewegung von Bedrohungsakteuren einzuschränken.

  4. Integration von Threat Intelligence

    • Mandiant- und Google Threat Intelligence-Feeds nutzen, um über neue TTPs auf dem Laufenden zu bleiben.
    • Indicators of Compromise (IOCs) mit Industriepartnern teilen, um die kollektive Verteidigung zu verbessern.

Fazit

Die Unterbrechung dieser Kampagne zeigt die sich weiterentwickelnde Natur der staatlich unterstützten Cyberspionage, insbesondere die Ausnutzung vertrauenswürdiger SaaS-Plattformen für schädliche Zwecke. Da Bedrohungsakteure ihre Techniken verfeinern, müssen Organisationen proaktive API-Sicherheitsmaßnahmen und fortschrittliche Bedrohungserkennung einführen, um diesen hochentwickelten Angriffen entgegenzuwirken.

Weitere Details finden Sie im Originalbericht von BleepingComputer.

Teilen

TwitterLinkedIn