Angreifer nutzen legitime Cloud-Computing-Dienste, um Malware zu verwalten und komplexe, mehrstufige Angriffspipelines einzusetzen, um Intrusion Detection-Systeme zu umgehen. Auf diese Weise können Kriminelle Schadsoftware im Netzwerksystem des Opfers verbreiten, Fernsteuerungstools installieren, die Kontrolle über das Gerät übernehmen und vertrauliche Informationen stehlen und löschen.

Die Kampagne richtete sich gegen Regierungsbehörden und Organisationen der Schwerindustrie in zahlreichen Ländern und Gebieten der Asien-Pazifik-Region (APAC), darunter Taiwan, Malaysia, China, Japan, Thailand, Hongkong, Südkorea, Singapur, die Philippinen und Vietnam. Hacker verwenden komprimierte Dateien mit Schadcode, getarnt als steuerrelevante Dokumente, und verbreiten diese über Phishing-Kampagnen per E-Mail und über Messaging-Apps wie WeChat und Telegram. Nach dem komplexen mehrschichtigen Installationsprozess der Malware auf dem System installieren Cyberkriminelle eine Hintertür namens FatalRAT.

Allerdings weist diese Kampagne einige Ähnlichkeiten mit früheren Angriffen auf, bei denen Open-Source-Remote-Access-Malware (RATs) wie Gh0st RAT, SimayRAT, Zegost und FatalRAT zum Einsatz kam. Experten haben eine deutliche Veränderung der Taktiken, Techniken und Vorgehensweisen beobachtet, die alle darauf zugeschnitten sind, chinesischsprachige Organisationen und Behörden ins Visier zu nehmen.

Der Angriff wurde über das Content Delivery Network (CDN) myqcloud und den Hosting-Dienst Youdao Cloud Notes durchgeführt – zwei legitime chinesische Cloud-Computing-Plattformen. Um einer Erkennung und Abwehr zu entgehen, haben Hacker zahlreiche Techniken eingesetzt, beispielsweise: Sie ändern ständig den Kontrollserver und die Malware-Nutzlast, um die Möglichkeit einer Rückverfolgung zu verringern, speichern Malware auf legitimen Websites, um das Sicherheitssystem zu „umgehen“, nutzen Schwachstellen in legitimer Software, um Angriffe durchzuführen, missbrauchen legitime Funktionen der Software, um Malware zu aktivieren, und verschlüsseln Dateien und Netzwerkverkehr, um ungewöhnliche Aktivitäten zu verbergen.

Kaspersky nannte die Kampagne „SalmonSlalom“, um zu beschreiben, wie Cyberkriminelle mithilfe ausgefeilter Taktiken und ständig wechselnder Methoden die Netzwerkabwehr geschickt umgehen – ähnlich wie Lachse, die eine schnelle, beschwerliche Reise durchschwimmen und dabei Ausdauer und Einfallsreichtum erfordern, um Hindernisse zu überwinden.

„Cyberkriminelle nutzen relativ einfache Techniken, um ihre Ziele zu erreichen, selbst in OT-Umgebungen (Operational Technology),“ sagte Evgeny Goncharov, Leiter von Kaspersky ICS CERT. „Diese Kampagne ist eine Warnung an Unternehmen der Schwerindustrie in der Asien-Pazifik-Region: Böswillige Akteure können aus der Ferne in OT-Systeme eindringen. Unternehmen müssen sich dieser Bedrohungen bewusst sein, ihre Abwehrmaßnahmen stärken und proaktiv reagieren, um Vermögenswerte und Daten vor Cyberangriffen zu schützen.“