Behörden in Südostasien, die von der Victory-Hintertür ins Visier genommen werden

Cybersicherheitsspezialisten haben eine neue Spionagekampagne zur Cyberkriminalität identifiziert, die auf diplomatische und staatliche Stellen in Südostasien abzielt. Während der Täter des Angriffs noch nicht identifiziert wurde, berichten Experten, dass er wahrscheinlich aus China stammt, wenn man die Art der Entitäten berücksichtigt, auf die er zielt, sowie die Tatsache, dass er den RoyalRoad-Waffen zum Erstellen schädlicher RTF-Dateien verwendet hat. Zusätzlich zu diesen beiden Ergebnissen stellen die Forscher auch fest, dass in dieser Kampagne eine brandneue Malware-Familie eingeführt wurde, die Victory Backdoor.

Die Opfer wurden durch Spear-Phishing-E-Mails angesprochen, die den oben erwähnten bewaffneten RTF-Anhang enthielten. Das Überraschende an der Victory Backdoor ist, dass sie anscheinend schon sehr lange in der Entwicklung ist – die frühesten Versionen der Nutzlast wurden vor über drei Jahren zusammengestellt.

Der Zweck der Victory Backdoor besteht darin, den Betreibern einen dauerhaften Zugriff auf das kompromittierte Netzwerk zu ermöglichen sowie Daten aus diesem heimlich zu exfiltrieren. Es kann Dateien manipulieren, Screenshots erstellen und verschiedene Details über die Hardware- und Softwarekonfiguration des kompromittierten Systems sammeln. Besonderes Augenmerk haben die Entwickler der Malware offenbar auf die Sicherheit der Kommunikation zwischen Implantat und Kontrollserver gelegt – diese Verbindungen sind stark verschlüsselt und verschleiert.

Bisher gab es nicht genügend Informationen, um die Entwicklung und Verwendung von Victory Backdoor einem bestimmten chinesischen Akteur der Advanced Persistent Threat (APT) zuzuschreiben, aber die Forscher sind davon überzeugt, dass die Kriminellen tatsächlich von China aus operieren.