Vertrieb kontaktieren
Home  /  Technische  Operation GriefLure: Analyse einer APT-Kampagne gegen die militärische Telekommunikation in Vietnam und das philippinische Gesundheitswesen
Operation GriefLure: Analyse einer APT-Kampagne gegen die militärische Telekommunikation in Vietnam und das philippinische Gesundheitswesen

Operation GriefLure: Analyse einer APT-Kampagne gegen die militärische Telekommunikation in Vietnam und das philippinische Gesundheitswesen

Geschrieben von Dixit Panchal
Dixit Panchal
Technische

Table of Contents:

  • Einführung:
  • Hauptziele:
  • Infektionskette:
  • Erste Erkenntnisse zur Kampagne:
    • Analyse der Lockvögel:
  • Technische Analyse:
    • Kampagne 1:
      • Stufe 1: Ho so.rar
    • Kampagne: 2
      • Phase 1: download.zip
    • Phase 2: Die LNK- und Batch-Datei (in Phase 1 und 2 gemeinsam)
    • Phase 3: Analyse von sfvc.exe und 360.dll
      • Analyse von 2nd
  • Infrastrukturelle Artefakte & Zuordnung von Bedrohungsakteuren.
  • Fazit: Warum Operation GriefLure?
  • Seqrite Reichweite:
  • IOCs:
  • MITRE ATT&CK:

Einführung:

Seqrite Labs hat eine gezielte Spear-Phishing-Kampagne mit dem Namen „Spear-Phishing“ aufgedeckt. Operation Trauerfalle, die sich an leitende Angestellte der Viettel-Gruppe richtete – Vietnams größtem Telekommunikationsunternehmen, das unter dem Dach der Ministerium für nationale Verteidigung & St. Luke's Medical Center Quezon (Philippinen) — in Zusammenarbeit mit den Ermittlern der Cyberkriminalitätspolizei der Provinz Thanh Hoa. Die Kampagne verbreitet eine schädliche Windows-LNK-Datei in einem verschachtelten, doppelt komprimierten RAR-Archiv und missbraucht die native ftp.exe-Datei als LotL-Dropper (Living-off-the-Land), um die Endpunkterkennung zu umgehen. Besonders gefährlich an dieser Kampagne ist die Konstruktion des Köders: Anstatt Dokumente zu erstellen, erbeutete der Angreifer acht echte, rechtlich sensible Dokumente.

Im Zentrum der Kampagne steht ein Windows LNK-basierter Dropper Missbrauch der nativen ftp.exe-Binärdatei – eine Living-off-the-Land-Technik (LotL), die minimale forensische Spuren hinterlässt und die meisten herkömmlichen Endpunkterkennungsmethoden umgeht. Bei der Ausführung … zeitbasierter polymorpher Nutzlastmontagemechanismus Es erstellt direkt auf der Festplatte aus .doc-Dateien eine vollständige Schadsoftware – sfsvc.exe – und startet diese unbemerkt, während das Opfer eine authentische PDF-Datei liest. Der gesamte Vorgang ist in weniger als 10 Sekunden abgeschlossen, ohne dass das Opfer davon etwas bemerkt.

„Die gefährlichste Falle ist nicht die, die das Opfer dazu bringt, etwas Falsches zu glauben – sondern die, die ihm etwas völlig Wahres zeigt.“ - Seqrite Labs Threat Research Team.

In diesem Bericht Seqrite Labs bietet eine umfassende technische Analyse der Operation GriefLure – von der gesamten Infektionskette über den Mechanismus zur Zusammenstellung der Nutzlast und die Analyse der Köderdokumente bis hin zur Zielprofilierung und den Indikatoren zur Zuordnung.

Hauptziele:

Kampagne 1:

  • Zielland: Vietnam
  • Zielbranche: Netzwerk & Telekommunikation

Kampagne 2:

  • Zielland: Philippinen
  • Zielbranche: Gesundheitswesen & Medizin

Infektionskette:

Erste Erkenntnisse zur Kampagne:

Beide Kampagnen nutzen hochgradig glaubwürdige Fälschungsdokumente, die darauf abzielen, reale berufliche Verantwortlichkeiten auszunutzen und bei den Zielpersonen sofortiges Handeln zu provozieren. Im ersten Fall verwendeten die Angreifer authentische juristische und investigative Unterlagen aus einem realen Streitfall zwischen Viettel und den vietnamesischen Behörden, wodurch eine hohe Relevanz für die beteiligten Führungskräfte und Ermittler der Cyberkriminalität gewährleistet wurde. Im zweiten Fall wurde eine gefälschte, aber überzeugende Whistleblower-Beschwerde erstellt, um leitende Angestellte des St. Luke’s Medical Center unter Druck zu setzen, indem schwerwiegende Verstöße gegen Compliance-Vorschriften und finanzielle Unregelmäßigkeiten vorgeworfen wurden.

Analyse der Lockvögel:

Kampagne 1: Militärische Telekommunikation & Strafverfolgung (Viettel-Gruppe (Hauptsitz)))

Bei der ersten Sichtung des schädlichen Archivs identifizierten wir acht gefälschte Dokumente, die vollständig aus authentischen, realen Rechtsdokumenten erstellt wurden. Diese Dokumente stammen aus einem laufenden Datenleck zwischen einem vietnamesischen Staatsbürger und Viettel – Vietnams Telekommunikationsunternehmen. Die Dokumente umfassen offizielle Polizeiberichte, unterzeichnete Bestätigungsschreiben des Unternehmens, interne E-Mail-Verläufe von Mitarbeitern und persönliche Krankenakten. Jedes Dokument wurde so ausgewählt, dass es die beruflichen Pflichten namentlich genannter Führungskräfte von Viettel und eines der Ermittler der Cyberkriminalitätspolizei ausnutzt. Dadurch ist eine intuitive Erkennung für jeden direkt Beteiligten praktisch unmöglich.

Dies ist das primäre Köderdokument – ​​eine formelle E-Mail zur Eskalation der Rechtsstreitigkeiten, die direkt an den CEO von Viettel gerichtet ist und einen viermonatigen Streitfall um eine Datenschutzverletzung zusammenfasst sowie mit rechtlichen Schritten gegen das Unternehmen droht. Sie öffnet sich automatisch nach der Ausführung von LNK und hält das Opfer so in Atem, während die Schadsoftware im Hintergrund unbemerkt weiterläuft.

Eine handschriftliche, unterzeichnete Verteidigungserklärung, die der beschuldigte Viettel-Mitarbeiter Lê Văn Chiến der Filialleitung vorlegte und in der er seine Version des Vorfalls um das Leck persönlicher Daten darlegte.

Die handschriftliche Gestaltung in Kombination mit der offiziellen Formatierung lässt es wie ein hochsensibles internes HR-Dokument erscheinen, was die wahrgenommene Authentizität des gesamten Köderpakets erheblich steigert.

Eine E-Mail-Korrespondenz zwischen der Kundin Lê Thị Dung und dem Kundendienst von Viettel, in der ihre erste Beschwerde über eine Verletzung des Schutzes personenbezogener Daten formell dokumentiert wurde und die echte personenbezogene Daten wie die nationale Ausweisnummer ****269 und die Telefonnummer *******2308 enthielt.

Viettels formelles schriftliches Eingeständnis des Datenlecks, unterzeichnet von der stellvertretenden Direktorin Hoàng Thị Tuyết Mai – das rechtlich bedeutendste Dokument in dem Paket, in dem das Fehlverhalten der Mitarbeiterin und die disziplinarischen Maßnahmen ausdrücklich bestätigt werden.

Kampagne 2: St. Luke's Medical Center (SLMC) Philippinen

Bei der ersten Sichtung des in Kampagne 2 identifizierten Pakets schädlicher Dokumente stellten wir fest, dass es sich um ein primäres Köderdokument handelte, das so gestaltet war, dass es eine formelle Whistleblower-Beschwerde vortäuschte, die beim St. Luke's Medical Center (SLMC) eingereicht wurde – einer der renommiertesten privaten Krankenhausgruppen der Philippinen mit internationaler JCI-Akkreditierung.

Bei diesem Köder handelt es sich offenbar um ein eigens angefertigtes gefälschtes Dokument, das auf Mitarbeiter der Gesundheitsverwaltung, der internen Revision und der Compliance-Abteilung der SLMC-Niederlassungen in Global City und Quezon City abzielt.

Die Köderattacke in Kampagne 2 verfolgt einen grundlegend anderen Ansatz als Kampagne 1: Anstatt authentische Dokumente zu beschaffen, erstellte der Angreifer eine äußerst überzeugende Whistleblower-Beschwerde, die auf die interne Compliance- und Audit-Infrastruktur des St. Luke’s Medical Center abzielte. Das Dokument ist präzise darauf ausgelegt, durch die Behauptung von angeblichem Betrug in Höhe von 1,500,000 PHP, Bedrohungen der JCI-Akkreditierung und Verstößen gegen die PhilHealth-Richtlinien sofortiges Handeln der Krankenhausleitung auszulösen. data privacy Verstöße.

Technische Analyse:

Nach dem Herunterladen der RAR-Archive beider Kampagnen stellten wir fest, dass jedes Archiv eine Kombination aus PDF-Täuschungsdokumenten und LNK-Dateien enthielt, die wir anschließend detailliert analysierten. Wir haben die Analyse strukturiert, indem wir beide Kampagnen in mehrere Phasen unterteilt haben, um die Ergebnisse übersichtlich darzustellen. Phase 3 ist beiden Kampagnen gemeinsam; hier konzentrieren wir uns auf eine eingehende Untersuchung der verwendeten DLL-Sideloading-Technik.

Kampagne: 1

Stufe 1: (Ho so.rar)

In Phase 1 erhielten wir das per Spear-Phishing-E-Mail zugestellte RAR-Archiv. Die Datei mit dem Namen „Ho so.rar“ enthält die folgenden Elemente.

In Phase 1, während der Analyse der primären Archivdatei „Ho so.rar“, identifizierten wir ein sekundäres RAR-Archiv, das im obigen Screenshot hervorgehoben ist und den Namen „PL8_Ho so bang chung KH Dung thu thap.rar.„Zusätzlich zu diesem verschachtelten Archiv enthält das Paket auch sieben PDF-Täuschungsdokumente, die in den vorangegangenen Abschnitten ausführlich beschrieben wurden.“

Wir haben auch die zweite RAR-Datei überprüft, die als verschachtelte Datei verwendet wurde. Sie enthält die folgenden Dateien und Ordner.

Das Archiv enthält eine LNK-Datei mit dem Namen „HỒ SƠ BẰNG CHỨNG GHI NHẬN CHUỖI HÀNH VI VI PHẠM PHÁP LUẬT CÓ HỆ THỐNG VÀ LEO THANG CỦA TẬP ĐOÀN VIETTEL.lnk.“ Es enthält außerdem drei Bilddateien, die wahrscheinlich als Belege für die Erstellung der Täuschungsdokumente dienten.

In diesem Archiv befindet sich ein Ordner, der oben mit „_“ gekennzeichnet ist und die folgenden Unterordner enthält..

Nachdem wir diese detailliert geprüft hatten, wobei jede Datei separate Angaben und Informationen enthielt,

_rels:

Doc:

Darüber hinaus enthält das Archiv eine Batch-Datei, die der Angreifer in den nachfolgenden Phasen der Ausnutzung verwendet.

Kampagne: 2

Wie bereits erwähnt, zielt Kampagne 2 gezielt auf das St. Luke’s Medical Center (SLMC) auf den Philippinen ab. In diesem Fall enthält die Spear-Phishing-E-Mail ein ZIP-Archiv mit dem Namen „download.zip“.

Phase 1: download.zip

_rels:

Doc:

Phase 1 beginnt mit der Analyse des per Spear-Phishing-E-Mail versendeten Archivs download.zip. Nach dem Entpacken offenbart das Archiv einen strukturierten Ordner namens Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026, der legitim und auf Ermittlungen ausgerichtet erscheinen soll. Darin befinden sich mehrere Komponenten, darunter ein Köderdokument, zugehörige Verzeichnisse (doc und _rels) sowie eine verdächtige Batch-Datei. Das Vorhandensein dieser Elemente deutet auf einen gestaffelten Ablauf hin, bei dem das Köder-PDF als Lockmittel dient, während versteckte Skripte im Hintergrund schädliche Aktivitäten ausführen. Diese Struktur lässt stark auf eine gezielte Vorbereitung von Social Engineering in Kombination mit technischen Methoden schließen.

Phase 2: Die LNK- und Batch-Datei (in Phase 1 und 2 gemeinsam)

Wir haben zwei LNK-Dateien identifiziert, die identischen Inhalt enthalten, sich aber nur in ihren Dateinamen unterscheiden: „HỒ SƠ BẰNG CHỨNG GHI NHẬN CHUỖI HÀNH VI VI PHẠM PHÁP LUẬT CÓ HỆ THỐNG VÀ LEO THANG CỦA TẬP ĐOÀN VIETTEL.lnk“ und „Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026/Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026.pdf.lnk.“

Beide Kampagnen verwenden dieselbe LNK-Ausführungslogik. Die LNK-Datei missbraucht die Windows-eigene Datei ftp.exe als Living-off-the-Land-Loader und führt unbemerkt über den Parameter -s ein verstecktes Skript aus. Dieses Skript setzt die Schadsoftware aus in C:\Users\Public abgelegten Dateien zusammen und startet sie. Gleichzeitig öffnet es die Datei 1.pdf als Köder, um das Opfer völlig im Unklaren zu lassen. Der gesamte Angriff läuft unbemerkt in weniger als 10 Sekunden ab, ohne dass irgendwelche Anzeichen auf dem Bildschirm sichtbar sind.

Kampagne: 1


Kampagne:2

Beide Kampagnen nutzen ein gemeinsames Framework zur Stapelverarbeitung von Nutzdaten – was bestätigt, dass ein einzelner Bedrohungsakteur gleichzeitig in Vietnam und auf den Philippinen eine modulare Angriffsinfrastruktur betreibt.

Der Kernmechanismus ist in beiden Fällen identisch: Binärdatenblöcke, die als .doc-Dateien getarnt sind, werden extrahiert, eine zeitbasierte polymorphe Selektion randomisiert den Nutzdaten-Hash, und sfsvc.exe wird unbemerkt zusammengestellt und ausgeführt, während eine zielspezifische Köder-PDF das Opfer ablenkt.

Der einzige nennenswerte Unterschied zwischen den Kampagnen besteht im Namen des Köderdokuments – generisches 1.pdf in Kampagne 1 versus das präzise benannte Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026.pdf in Kampagne 2 – was auf einen weiterentwickelten, zunehmend raffinierten Bedrohungsakteur hindeutet, der die Köderpräsentation für jedes Ziel individuell anpasst.

Das Batch-Skript verwendet eine Technik zur Verkettung binärer Dateien, um zur Laufzeit eine vollständig funktionsfähige PE-Datei zu rekonstruieren – indem es header.doc (mit dem MZ/PE-Header) mit WindowsSecurity.doc (der Hauptcode) unter Verwendung des Windows-eigenen Befehls copy /b, um sfsvc.exe (162 KB) zu erzeugen, und separat durch Zusammenführen desselben PE-Headers mit einem zeitlich ausgewählten polymorphen Chunk (%TIME:~4,1%.doc) plus einem angehängten %RANDOM%-Wert, um bei jeder Ausführung einen eindeutig gehashten 360.dll-Loader zu generieren.

Dieser Ansatz der Assemblierung zur Laufzeit bedeutet, dass weder die EXE-Datei noch die DLL jemals im RAR-Archiv existieren – es werden lediglich harmlos aussehende .doc-Fragmente vollständig gespeichert. Umgehung statischer Archivscans und signaturbasierter ErkennungDie finale sfsvc.exe wird dann minimiert über den DllRegisterServer-Einstiegspunkt ausgeführt. 360.dll, wodurch das Implantat aktiviert wird, während sich die zusammengestellten Nutzlastdateien in C:\Users\Public\Update\ Bei einer oberflächlichen forensischen Untersuchung erscheinen sie als nichts anderes als legitime Windows-Dienstkomponenten.

Phase 3: Analyse von sfsvc.exe und 360.dll

sfsvc.exe stellt sich als ein speziell entwickeltes Ausführungsframework Entwickelt, um bösartige DLLs unbemerkt und flexibel zu laden und auszuführen.

Wir haben festgestellt, dass es einen Befehl verwendet, um die schädliche Datei 360.dll auszuführen.

cmd.exe /C start /min C:\Users\Public\Update\sfsvc.exe /calldll 360.%TIME:~4,1%.dll DllRegisterServer >nul

Bei der Durchsicht des Codes stellten wir fest, dass sfsvc.exe eine kundenspezifische Neuimplementierung von regsvr32.exe, erweitert um zusätzliche Funktionen.

sfsvc.exe ist modular und unterstützt mehrere Operationen:

Befehl Zweck
/calldll DLL-Export ausführen
/u DLL abmelden
/s Lautloser Modus
/restartexplorer Starten Sie Explorer
/runnonelevated Entzug der Berechtigungen
/addpath Persistenz über PATH
/removepath Persistenz entfernen
/regieemulation Registry-/Browser-Optimierungen
/checkwin10 Betriebssystemerkennung

Intern stellt es mehrere Befehlszeilenoptionen bereit, die es ihm ermöglichen, DLL-Exporte auszuführen, Komponenten zu registrieren oder abzumelden, Systempfade für die Persistenz zu manipulieren, die Windows-Shell neu zu starten und sogar Ausführungsberechtigungen anzupassen. Dieser modulare Aufbau deutet stark darauf hin, dass die Binärdatei als wiederverwendbares Toolkit innerhalb eines größeren Malware-Ökosystems und nicht als einmalige Payload gedacht ist.

Explorer-Neustartroutine/ Explorer-Prozessübernahme (Explorer neu starten  Befehl)

Malware destabilisiert zunächst die Benutzeroberfläche, indem sie Beendigungs- und Schließungsnachrichten an zentrale Desktop-Komponenten wie Progman, Shell_TrayWnd, CabinetWClass und WorkerW sendet (Soft Kill), und listet dann zwangsweise Prozesse auf, um diese zu finden und zu beenden. explorer.exe Durch die Verwendung von Vollzugriffsrechten über OpenProcess und TerminateProcess (hartes Beenden) wird sichergestellt, dass die Shell vollständig entfernt wird. Anschließend führt eine Orchestrierungsfunktion zeitgesteuerte Verzögerungen ein und entscheidet, wie die Shell wiederhergestellt oder ersetzt wird – entweder durch einen Neustart. explorer.exe mit benutzerdefinierten Parametern über ShellExecuteW oder durch Aufruf einer komplexeren Routine, die das aktuelle Prozesstoken dupliziert und dessen Integritätsstufe senkt auf niedrig (S-1-16-4096)und erstellt Explorer mit CreateProcessAsUserW neu; dies führt dazu, dass der Desktop unter einem eingeschränkten, kontrollierten Sicherheitskontext neu aufgebaut wird, wodurch die Malware effektiv die sichtbare Benutzeroberfläche löschen, eine normale Wiederherstellung verhindern und eine manipulierte Shell-Umgebung wiederherstellen kann, die für Tarnung, Benutzerbeschränkung, Einrichtung der Persistenz oder weitere Payload-Ausführung verwendet werden kann.

 DLL-Ausführung (Befehl calldll)

Kernstück dieses Frameworks ist seine DLL-Ausführungs-Engine, die in der Funktion implementiert ist.

Diese Routine führt eine einfache, aber wirkungsvolle Sequenz aus: Sie lädt eine DLL mithilfe von LoadLibraryW in den Speicher, ermittelt die Adresse einer Funktion mit GetProcAddress und führt diese Funktion direkt aus. In der Praxis bedeutet dies, dass ein Angreifer jede beliebige DLL und jede exportierte Funktion – meist DllRegisterServer – bereitstellen und ausführen kann, ohne auf Standard-Systemtools angewiesen zu sein. Dieser Ansatz macht regsvr32.exe überflüssig und ermöglicht es der Malware, Erkennungsmechanismen zu umgehen, die dieses Dienstprogramm überwachen.

COM-ähnliche Registrierungsroutine

Neben der Ausführung beliebiger DLLs implementiert sfsvc.exe auch eine COM-ähnliche Registrierungsroutine (sub_402BC1), die legitime DLL-Registrierungsabläufe genau nachbildet. Diese Funktion lädt eine angegebene DLL und versucht, abhängig von den übergebenen Argumenten entweder DllRegisterServer oder DllUnregisterServer aufzurufen. Dies mag harmlos erscheinen, ermöglicht Angreifern jedoch in einem bösartigen Kontext, ihre Aktivitäten mit dem erwarteten Systemverhalten zu verschmelzen und es Sicherheitstools zu erschweren, zwischen legitimen und bösartigen DLL-Operationen zu unterscheiden.

Analyse der Datei 360.dll,  DllRegisterServer (Ein mehrstufiger Shellcode-Loader und -Injektor)

Die Datei 360.dll, die über sfsvc.exe /calldll … DllRegisterServer ausgeführt wird, ist keine normale COM-DLL, sondern eine mehrstufiger Shellcode-LoaderInnerhalb von DllRegisterServer verwendet der Code zunächst Anti-Analyse-Tricks (Junk-Anweisungen, Ausnahmebehandlung) und ermittelt dann seinen eigenen Pfad, vermutlich um eine sekundäre Nutzlast zu finden oder abzuleiten. Er verarbeitet und dekodiert versteckte Daten, reserviert ausführbaren Speicher mit VirtualAlloc, kopiert die dekodierte Nutzlast hinein und führt sie sofort im Speicher aus. Dies stellt einen klassischen dateilose Ausführungstechnik, wobei bösartiger Code ausgeführt wird, ohne eine sichtbare ausführbare Datei auf der Festplatte zu speichern, was die Erkennung erschwert.

Nach dieser ersten Ausführung geht die DLL in eine zweite Phase über: ProzessinjektionEs startet eine neue Instanz von explorer.exe, öffnet diese mit vollen Zugriffsrechten, reserviert Speicher mithilfe von VirtualAllocEx und schreibt die Schadsoftware über WriteProcessMemory hinein. Anschließend führt es die Schadsoftware remote mit CreateRemoteThread aus und schleust so die schädliche Ausführung in einen vertrauenswürdigen Systemprozess ein. Dieser mehrschichtige Ansatz – die Kombination aus Speicherausführung und Einschleusung – ermöglicht es der Schadsoftware, unentdeckt, hartnäckig und schwer erkennbar zu bleiben, insbesondere in Verbindung mit den flexiblen Loader-Funktionen von sfsvc.exe.

2nd Nutzlast:

Bei der Analyse von sfsvc.exe und 360.dll stellten wir fest, dass sich im Modul DllRegisterServer ein Shellcode befindet, der entschlüsselt wird.

Durch das Hinzufügen von Haltepunkten in LoadLibraryW und GetProcAddress können wir also die 2 entschlüsseln.nd Die Nutzlast ist eine Ratte.

Bei der Analyse der extrahierten Nutzdaten stellten wir fest, dass es sich bei dem analysierten Programm um ein modularer Malware-Loader Das Programm nutzt verschiedene Angriffstechniken basierend auf Kommandozeilenargumenten und fungiert als vielseitiges Implantat, das dateilose Ausführung, Prozessinjektion, Persistenz und Rechteausweitung ermöglicht. Es ruft Nutzdaten über eine zentrale Routine (sub_402E00) ab oder entschlüsselt sie und führt sie mit verschiedenen Methoden aus: direkte In-Memory-Ausführung mit VirtualAlloc (dateiloser Shellcode), APC-Injektion mit QueueUserAPC in angehaltene Prozesse und klassische Remote-Thread-Injektion mit CreateRemoteThread. Es enthält außerdem eine Dropper-Routine, die Nutzdaten per XOR-Verknüpfung entschlüsselt (^ 0x88) und sie in einen alternativen NTFS-Datenstrompfad wie C:\Users\Public\Update:2.dll schreibt, der anschließend mit DllRegisterServer ausgeführt wird.

Noch aufschlussreicher ist, wie diese Dekodierungslogik in die Netzwerkkommunikationsschicht der Malware eingebunden ist. Der Netzwerkhandler (sub_418030) empfängt kontinuierlich Daten von einem entfernten Server, wendet eine einfache XOR-Entschlüsselung (^ 0xBB) an und verarbeitet Befehle oder Nutzdaten dynamisch. Dies deutet auf einen vollständigen Command-and-Control-Workflow (C2) hin: Daten werden vom Angreifer empfangen, leicht verschleiert, dekodiert (möglicherweise mithilfe von Routinen wie sub_402E00) und anschließend im Speicher ausgeführt. Dieses Design ermöglicht es der Malware, flexibel zu bleiben und ihr Verhalten anzupassen, ohne neue Dateien auf der Festplatte abzulegen.

C2-Kommunikation mit Verschleierung und HTTP-Fallback

Die Malware nutzt für ihre Command-and-Control-Kommunikation (C2) die Windows WinHTTP API. Dabei wird eine Netzwerkverbindung hergestellt, eine Verbindung zu einem fest codierten Remote-Server aufgebaut (der sich häufig als legitim wirkende Domain wie www.whatsappcenter.com ausgibt) und eine HTTP-Anfrage – höchstwahrscheinlich eine POST-Anfrage – über HTTPS gesendet, um eine verschleierte Nutzlast zu übertragen. Die Nutzlast selbst wird durch eine interne Routine generiert und anschließend mit einem statischen Schlüssel (0xBB) XOR-verschlüsselt. Diese einfache Methode wird häufig von Malware verwendet, um die Erkennung durch einfache Signaturen zu umgehen. Nachdem die Daten in einen strukturierten Anfragetext verpackt wurden, versucht die Funktion, diesen an den Server zu senden und wartet auf eine Antwort. Diese wird in einen Puffer eingelesen und wahrscheinlich für die weitere Befehlsausführung an anderer Stelle in der Malware verwendet.

Prozessaufzählung und Systemprofilierung mit Datenexfiltration

Die Malware dient der Systemaufklärung und Datenexfiltration. Sie ist darauf ausgelegt, alle laufenden Prozesse auf dem infizierten Rechner aufzulisten und detaillierte Profilinformationen an einen entfernten Endpunkt zu übertragen. Zunächst erstellt sie mithilfe der Toolhelp-API (CreateToolhelp32Snapshot, Process32First, Process32Next) einen Snapshot aller aktiven Prozesse und durchläuft anschließend jeden Eintrag. Dabei ruft sie die zuvor analysierte Funktion sub_405790 auf, um angereicherte Metadaten wie den Prozessinhaber (Domäne\Benutzername), den vollständigen Ausführungspfad und die Architektur (32-Bit oder 64-Bit) zu extrahieren. Für jeden Prozess erstellt sie eine formatierte Zeichenkette mit dem Namen der ausführbaren Datei, der Prozess-ID und den gesammelten Identitätsdetails. Jeder Eintrag wird, getrennt durch Trennzeichen, in einen großen Aggregationspuffer eingefügt.

chrome.exe,Reserve,2300,DESKTOP\User,C:\Program Files\Chrome\chrome.exe,64?

svchost.exe,Reserve,888,NT AUTHORITY\SYSTEM,C:\Windows\System32\svchost.exe,64?

Routine zur Erfassung und Exfiltration von Screenshots

Die Malware implementiert einen vollständigen Mechanismus zur Bildschirmaufnahme und -exfiltration. Dadurch kann sie Screenshots des Opferbildschirms erstellen und diese an ihren Command-and-Control-Server (C2-Server) übertragen. Zunächst ermittelt sie die Bildschirmabmessungen mit GetSystemMetrics und berücksichtigt dabei Multi-Monitor-Setups durch die Berechnung der virtuellen Bildschirmgrenzen. Abhängig von einer aktiven Socket-Verbindung passt sie die Aufnahmeauflösung dynamisch an – entweder in voller Größe oder reduziert (durch 3 geteilt) –, vermutlich um ein optimales Verhältnis zwischen Bildqualität und Netzwerkbandbreite zu erzielen. Anschließend erfasst die Funktion den Bildschirm, indem sie kompatible Gerätekontexte erstellt (CreateCompatibleDC), den Anzeigeinhalt mit BitBlt kopiert und optional mit StretchBlt skaliert. Die Rohpixeldaten werden mit GetDIBits in einen Puffer extrahiert und ein gültiges BMP-Bild manuell erstellt, indem die Bitmap-Header und Pixeldaten im Speicher zusammengefügt werden.

Routine zur Verzeichnisauflistung und Exfiltration von Dateimetadaten

Die Malware implementiert eine Funktion zur Verzeichnisaufklärung und zum Auslesen von Dateimetadaten. Dadurch kann sie einen angegebenen Pfad untersuchen und dessen Inhalt an den Command-and-Control-Server (C2-Server) melden. Zunächst prüft sie, ob es sich bei dem angegebenen Pfad um ein Verzeichnis handelt, und listet anschließend dessen Inhalt mithilfe von `FindFirstFileA` und `FindNextFileA` auf. Die Routine arbeitet in zwei Phasen: Zuerst identifiziert sie alle Unterverzeichnisse (mit Ausnahme von „.“ und „..“) und erstellt eine Liste der Ordnernamen. Anschließend durchläuft sie den Vorgang erneut, um detaillierte Informationen über die Dateien im Verzeichnis zu sammeln. Für jede Datei extrahiert sie Attribute wie Dateiname, Änderungsdatum (konvertiert über `FileTimeToSystemTime` in ein lesbares Format) und Dateigröße (normalisiert in Kilobyte) und stellt die Einträge in einem strukturierten Format wie Dateiname|Zeitstempel|Größe (KB) zusammen.

Ex: document.txt|2026-05-04 10:22:31|12.45 KB

Routine für das Hochladen von Dateien in Blöcken und die Fernausführung

Die Malware implementiert einen Datei-Upload-Handler in Kombination mit bedingter Ausführungslogik. Dadurch kann sie Dateifragmente von einem Remote-Server empfangen, diese lokal rekonstruieren und optional die finale Payload ausführen. Sie analysiert verschiedene Parameter aus der Eingabestruktur, darunter den Zieldateipfad, die Fragmentgröße, die Gesamtgröße und den aktuellen Fragmentindex, und berechnet den Upload-Fortschritt zur Meldung. Die eingehenden Daten werden mithilfe einer internen Routine (sub_402E00) dekodiert. Anschließend öffnet oder erstellt die Funktion die Zieldatei und schreibt das Fragment mithilfe von SetFilePointerEx an die korrekte Position. Dies ermöglicht die zuverlässige Rekonstruktion großer Dateien in mehreren Teilen. Bei erfolgreichem Schreibvorgang sendet die Malware eine strukturierte Statusmeldung (z. B. $FileUpload||…||success||…||IsEnd) an den Command-and-Control-Server (C2); andernfalls meldet sie einen Fehler.

Ein besonders auffälliges Verhalten tritt auf, wenn die hochgeladene Datei einem bestimmten Pfad entspricht (z. B. C:\Users\Public\tvnserver.exe) und der letzte Datenblock geschrieben wurde: Die Funktion führt die Datei sofort mit CreateProcessA aus und startet sie anschließend erneut mit den Befehlszeilenargumenten -controlapp -connect. ) deutet auf die Bereitstellung einer sekundären Nutzlast hin – wahrscheinlich eines Remote-Desktop- oder Steuerungstools wie TightVNC. Dies bestätigt, dass die Routine nicht nur der Datenübertragung dient, sondern auch für Nutzlastzustellung und -ausführung, ein Kennzeichen inszenierter Malware-Infektionen

Erkennung von Sicherheitssoftware

Die Funktions-Malware ist eine defensive Ausweich- und Umgebungserkennungsroutine, die alle laufenden Prozesse auf dem System auflistet, um installierte Sicherheitsprodukte wie Antivirenprogramme (AV) zu identifizieren. endpoint detection and response (EDR) und Sicherheitsagenten. Es erstellt einen Snapshot aktiver Prozesse mithilfe von CreateToolhelp32Snapshot und durchläuft jeden Eintrag, wobei die Prozessnamen mit einer großen, fest codierten Liste bekannter sicherheitsrelevanter ausführbarer Dateien verglichen werden – darunter Produkte von Anbietern wie Kaspersky, Windows Defender, ESET, Bitdefender, Avast, Avira, Sophos, McAfee, SentinelOne, CrowdStrike und diversen chinesischen Sicherheitslösungen (z. B. 360Safe, Qianxin, Sangfor). Bei einer Übereinstimmung wird der Prozess einem lesbaren Anbieternamen (z. B. „Kaspersky“, „Windows Defender“) zugeordnet und in einem Puffer gespeichert. Gleichzeitig werden interne Flags für bestimmte Erkennungen gesetzt (was späteres Verhalten wie das Deaktivieren von Funktionen oder das Ändern der Taktik beeinflussen kann).

Nach Abschluss der Aufzählung fasst die Funktion alle identifizierten Sicherheitsprodukte in einer deduplizierten Zeichenkette zusammen, um sicherzustellen, dass wiederholte Erkennungen in der endgültigen Ausgabe nicht dupliziert werden.

Modul für Credential Harvesting und gezielten Datendiebstahl

Die Malware offenbart eine hochgradig zielgerichtete Methode zum Sammeln von Anmeldeinformationen, die sensible Daten aus bestimmten Anwendungen, Browsern und Fernzugriffstools extrahiert. Die Funktion durchsucht systematisch eine Vielzahl fest codierter Dateipfade in Benutzerverzeichnissen und Systemverzeichnissen und konzentriert sich dabei auf besonders wertvolle Ziele wie Browser-Anmeldeinformationen (z. B. Chrome-Anmeldedaten, Cookies, Verlauf und lokaler Status), FTP-Client-Konfigurationen (z. B. FileZilla), Datenbanktools (PL/SQL Developer-Einstellungen) und Fernzugriffssoftware wie Sunlogin und ToDesk (config.ini). Sie zielt außerdem gezielt auf Xshell-Sitzungsdateien (*.xsh) aus NetSarang-Verzeichnissen ab, die häufig gespeicherte SSH-Verbindungsdetails enthalten.

Darüber hinaus versucht die Malware, auf Daten von Messaging-Anwendungen wie WeChat-Dateien in Benutzerdokumentverzeichnissen zuzugreifen, was auf ein Interesse an Kommunikationsprotokollen und möglicherweise zwischengespeicherten Anmeldeinformationen hindeutet.

Infrastrukturartefakte & Zuordnung von Bedrohungsakteuren.

Im Rahmen der detaillierten Analyse dieser Operation, die wir hier als Operation griefLure bezeichnet haben, identifizierten wir eine C2-Domain namens whatsappcenter[.]com. Nach weiterer Analyse dieser Domain erhielten wir die folgenden Details.

Die Domain hostet über — 38[.]54[.]122[.]188 — einen Server, der drei eindeutige Tags aus passiven Geheimdienstquellen trägt: BULLETPROOF, DEFAULT_LANDING_PAGE und REMOTE_ACCESS. Der Host befindet sich innerhalb KAOPU-HK Kaopu Cloud HK Limited (AS138915), ein in Hongkong ansässiges autonomes System mit einer gut dokumentierten Geschichte der Bereitstellung missbrauchsresistenter Hosting-Lösungen für Bedrohungsakteure im gesamten asiatisch-pazifischen Raum.

Die technischen Indikatoren dieser Kampagne zeichnen ein einheitliches und schlüssiges Bild. Die bewusste Auswahl von KAOPU-HK kugelsicher Infrastruktur, die Registrierung von .com-Varianten der C2-Domain, die Chinaspezifische AV-Aufzählung Liste, die in der Nutzlast eingebettet ist – einschließlich Anbieter 360Safe, Qianxin und Sangfor — die explizite Datenausrichtung über WeChat innerhalb des Moduls zur Erfassung von Zugangsdaten und die breitere Ausrichtung auf Südostasien, die den militärischen Telekommunikationssektor Vietnams und die philippinische Gesundheitsinfrastruktur umfasst, bilden zusammen ein Zuordnungsprofil, das Seqrite Labore bewerten mit mittel bis hoch Vertrauen als Bedrohungscluster im China-Netzwerk.

Fazit: Warum Operation GriefLure?

Die Operation GriefLure verdankt ihren Namen dem prägendsten und beunruhigendsten Merkmal dieser Kampagne: Die Angreifer erfanden keinen Köder, sondern stahlen ihn von einem trauernden Opfer. Lê Thị Dung führte über vier Monate lang einen erbitterten Rechtsstreit gegen einen der mächtigsten vietnamesischen Militärkonzerne. Sie erstattete Anzeige, legte offizielle Beweismittel vor und kämpfte für Gerechtigkeit nach einem tatsächlichen Datenleck, das bei ihr dokumentierte psychische Traumata, darunter eine posttraumatische Belastungsstörung (PTBS) und Depressionen, verursacht hatte.

Der Angreifer verfolgte diesen Kampf öffentlich in den sozialen Medien, sammelte systematisch jedes authentische Dokument, das sie veröffentlichte, und nutzte ihre Trauer mit chirurgischer Präzision gegen ebendiese Institutionen, gegen die sie kämpfte – er verwandelte ihren Schmerz in den perfekten Spear-Phishing-Köder, den kein Sicherheitstraining zuverlässig abwehren konnte, denn jedes Dokument war echt, jeder Name korrekt und jeder Empfänger hatte einen triftigen Grund, es ohne Zögern zu öffnen. Diese gezielte Ausnutzung der Not eines echten Opfers als Angriffsmechanismus kennzeichnet diese Kampagne, macht sie unter den Bedrohungsoperationen in Südostasien einzigartig gefährlich und genau das zeichnet sie aus. warum es Operation Trauerfalle genannt wird.

Seqrite Reichweite:

  • Lnk.Trojan.50682.GC
  • Script.Trojan.50683.GC
  • Trojan.Win32CiR

IOCs:

Dateiname SHA256
HỒ SƠ BẰNG CHỨNG GHI NHẬN CHUỖI HÀNH VI VI PHẠM PHÁP LUẬT CÓ HỆ THỐNG VÀ LEO THANG CỦA TẬP ĐOÀN VIETTEL.lnk 35af2cf5494181920b8624c7b719d39590e2a5ff5eaa1a2fa1ba86b2b5aa9b43
Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026.pdf.lnk bc090d75f51c293d916c40d4b21094faaec191a42d97448c92d264875bf1f17b
Gültiger_Regierungsausweis_von_Dela_Cruz_Juan_-_Philippinischer_Nationalausweis_Vorderseite.png.lnk 197f11a7b0003aa7da58a3302cfa2a96a670de91d39ddebc7a51ac1d9404a7e6
iPad_Pro_Display_Spec_Final_CONFIDENTIAL.docx.lnk f34f550147c2792c1ff2a003d15be89e5573f0896c5aa6126068baa4621ef416
360.8.dll bc83817c6d2bf8df1d58eac946a12b5e2566b2ffe15cf96f37c711c4b755512b
th5znehec.exe 61e9d76f07334843df561fe4bac449fb6fdaed5e5eb91480bded225f3d265c5f
a.dll ee6330870087f66a237a7f7c115b65beb042299f12eae1e9004e016686d0c387
SlULIRDJOiq 91a15554ec9e49c00c5ca301f276bd79d346968651d54204743a08a3ca8a5067
Stapel a49155df50963d2412534090bbd967749268bd013881ddb81d78b87f91cdc15b
Stapel 7f80add94ee8107a79c87a9b4ccbd33e39eccd1596748a5b88629dd6ac11b86d

 

C2:

www[.]whatsappcenter[.]com

MITRE ATT&CK:

Taktik Technikname Technik-ID
Erster Zugriff Spearphishing-Anhang T1566.001
Ausführung Benutzerausführung (bösartiger Link) T1204.002
Befehls- und Skriptinterpreter (cmd/batch) T1059.003
Systembinäre Proxy-Ausführung (Missbrauch von ftp.exe) T1218
Beharrlichkeit Umgebungsvariablen (PATH) ändern T1574.007
Automatische Startausführung beim Booten oder Anmelden (Explorer-Manipulation) T1547
Privilegien Eskalation Prozess mit Token erstellen (CreateProcessAsUser) T1134.002
Verteidigungsflucht Verschleierte/komprimierte Dateien (RAR/ZIP, verschachtelte Archive) T1027
Duale Lebensweisen vom Land T1218
Polymorpher Code / Nutzlastverschleierung T1027.014
Maskierung (.doc-Chunks als Nutzdaten) T1036
Prozessinjektion (CreateRemoteThread) T1055.001
DLL-Seitenladen / -Ausführung T1574.002
Indikatorentfernung / Versteckte Ausführung (ADS) T1564.004
Zugang zu Anmeldeinformationen Anmeldeinformationen von Webbrowsern T1555.003
Anmeldeinformationen aus Dateien T1552.001
Bewertung Prozesserkennung T1057
Systeminformationserkennung T1082
Datei- und Verzeichniserkennung T1083
Erkennung von Sicherheitssoftware T1518.001
Kollektion Screen Capture T1113
Daten vom lokalen System T1005
Command and Control Anwendungsschichtprotokoll (HTTPS) T1071.001
Verschleierter/Verschlüsselter Kanal (XOR-Codierung) T1573
Exfiltration Exfiltration über C2-Kanal T1041
Automatisierte Exfiltration T1020

Autoren:

  • Dixit Panchal
  • Kartik Jivani
  • Soumen Burma

Dixit Panchal

Über Dixit Panchal

Er ist Sicherheitsforscher bei Quick Heal Technologies Ltd und arbeitet mit dem Seqrite Laborteam. Zu seinen Fachgebieten gehören Bedrohungsanalyse, Malware-Forschung und...

Artikel von Dixit Panchal »

Verwandte Artikel