SecBoard
Zurück zur Übersicht

Daxin Resurfaces in Taiwan Alongside Stupig Pre-Login SYSTEM Backdoor

The Hacker News·
Originalartikel lesen bei The Hacker News

Die Malware Daxin, die einer chinesischen Hackergruppe zugeschrieben wird, ist nach vier Jahren in einem taiwanesischen Fertigungsunternehmen wieder aufgetaucht. Begleitend wurde eine neue namens Stupig entdeckt. Unternehmen sollten ihre Systeme umgehend auf diese Bedrohungen überprüfen und entsprechende Sicherheitsmaßnahmen ergreifen.

Kurzfassung

Die Malware Daxin, die einer chinesischen Hackergruppe zugeschrieben wird, ist nach vier Jahren in einem taiwanesischen Fertigungsunternehmen wieder aufgetaucht. Begleitend wurde eine neue Backdoor namens Stupig entdeckt. Dies deutet auf anhaltende gezielte Angriffe gegen kritische Industrien hin.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Ein taiwanesisches Fertigungsunternehmen. Die Bedrohung wird einer chinesischen Hackergruppe zugeschrieben.

Warum relevant

Das Wiederauftauchen von Daxin und die neue Stupig-Backdoor zeigen, dass hochentwickelte, staatlich unterstützte Bedrohungsakteure weiterhin kritische Industrien ins Visier nehmen. Unternehmen, insbesondere im Fertigungssektor, müssen ihre Abwehrmaßnahmen verstärken, um Kompromittierungen zu verhindern.

Realistisches Worst Case

Eine erfolgreiche Kompromittierung könnte zu unbefugtem Zugriff auf sensible Daten, Betriebsunterbrechungen oder zur Manipulation von Produktionsprozessen führen, da Daxin ein Kernel-Mode-Rootkit ist und Stupig eine Pre-Login-SYSTEM-Backdoor ist.

Handlungsempfehlung

Unternehmen sollten ihre Systeme umgehend auf Anzeichen von Daxin und Stupig überprüfen und entsprechende Sicherheitsmaßnahmen ergreifen. Insbesondere Fertigungsunternehmen sollten ihre Abwehrmaßnahmen verstärken und auf diese spezifischen Bedrohungen überwachen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Systemprotokolle und Netzwerkverkehr auf Indikatoren für Daxin und Stupig (nicht im Artikel spezifiziert).
  • Stellen Sie sicher, dass alle Endpunkte und Server mit den neuesten Sicherheitspatches aktualisiert sind, insbesondere für Betriebssysteme und kritische Anwendungen.
  • Führen Sie eine Überprüfung der Zugriffsrechte durch, um sicherzustellen, dass das Prinzip der geringsten Privilegien angewendet wird, insbesondere für SYSTEM-Konten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
PersistenceT1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup FolderLowStupig ist eine 'Pre-Login SYSTEM Backdoor', was auf eine Persistenzmethode vor der Benutzeranmeldung hindeutet.
Defense EvasionT1574.002 Hijack Execution Flow: DLL Side-LoadingLowDaxin ist ein 'Kernel-Mode-Rootkit', was typischerweise Techniken zur Umgehung von Sicherheitsmechanismen auf niedriger Ebene beinhaltet.
Privilege EscalationT1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup FolderLowStupig ist eine 'Pre-Login SYSTEM Backdoor', was auf die Ausführung mit SYSTEM-Privilegien vor der Benutzeranmeldung hindeutet.
Command and ControlT1071.001 Application Layer Protocol: Web ProtocolsLowBackdoors wie Stupig werden typischerweise für Command-and-Control-Kommunikation verwendet, obwohl der spezifische Protokolltyp nicht im Artikel genannt wird.
Offene Punkte
  • Spezifische IOCs (Indicators of Compromise) für Daxin und Stupig werden im Artikel nicht genannt.
  • Die genauen Angriffsvektoren für die Erstinfektion werden nicht beschrieben.
  • Die spezifischen Funktionen oder Fähigkeiten der Stupig-Backdoor über ihre Bezeichnung als 'Pre-Login SYSTEM Backdoor' hinaus werden nicht detailliert.
  • Die genaue Methode, wie Daxin als 'Kernel-Mode-Rootkit' seine Funktionen ausführt, wird nicht beschrieben.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?
  • Können wir Defense Evasion detektieren?

MITRE ATT&CK Kill Chain (3 Techniken)

Defense Evasion