Três grupos de atividades ameaçadoras ligados à China parecem comprometer várias agências governamentais no Sudeste Asiático como parte de uma operação renovada patrocinada pelo governo com o codinome. O Palácio Carmesimindicando a expansão do escopo do esforço de inteligência.
A empresa de segurança cibernética Sophos, que monitorou o ataque cibernético, disse que incluiu três conjuntos de invasões rastreadas como Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) e Cluster Charlie (STAC1305). STAC é um acrônimo para “força-tarefa contra ameaças à segurança”.
“Os invasores têm usado outras redes corporativas e públicas vulneráveis naquela região para entregar malware e ferramentas disfarçadas de pontos de acesso confiáveis”, disseram os pesquisadores de segurança Mark Parsons, Morgan Demboski e Sean Gallagher em um relatório técnico compartilhado com o The Hacker. Notícias.
Uma característica notável deste ataque é que ele envolve o uso de sistemas organizacionais sem nome, como o relé de comando e controle (C2) e a plataforma de instrumentos. Diz-se que o Microsoft Exchange Server de uma segunda organização vulnerável foi usado para hospedar o malware.
O Crimson Palace foi documentado pela primeira vez por uma empresa de segurança cibernética no início de junho de 2024, com ataques ocorrendo entre março de 2023 e abril de 2024.
Embora a primeira operação associada ao Cluster Bravo, que se sobrepõe ao grupo de ameaças denominado Unfading Sea Haze, tenha sido encerrada em março de 2023, uma nova onda de ataques detectada entre janeiro e junho de 2024 foi observada visando 11 outras organizações e agências na mesma região. .
Um novo cluster de ataque planejado pelo Cluster Charlie, um cluster chamado Earth Longzhi, também foi identificado entre setembro de 2023 e junho de 2024, alguns dos quais incluem a implantação de estruturas C2, como Cobalt Strike, Havoc e XieBroC2 para facilitar a exploração e entrega posterior. Complementos pagos como SharpHound para mapeamento de infraestrutura do Active Directory.
“A divulgação dos dados de propriedade intelectual ainda era o objetivo após a retomada dos trabalhos”, afirmaram os pesquisadores. “No entanto, a maior parte de seus esforços parecia estar focada em restabelecer e expandir seu alcance na rede alvo, contornando o software EDR e restabelecendo rapidamente o acesso quando seus implantes C2 fossem desligados”.
Outra característica importante é a forte dependência do Cluster Charlie do sequestro de DLL para liberar o malware, um método anteriormente adotado pelos atores de ameaças por trás do Cluster Alpha, o que demonstra a “polinização” de táticas.
Alguns dos programas de código aberto usados pelo agente da ameaça incluem RealBlindingEDR e Alcatraz, que permitem contornar processos antivírus e ofuscar arquivos executáveis (por exemplo, .exe, .dll e .sys) para passar despercebidos. .
Completando o arsenal de malware do cluster está um keylogger até então desconhecido chamado TattleTale, que foi identificado pela primeira vez em agosto de 2023 e é capaz de coletar dados para os navegadores Google Chrome e Microsoft Edge.
“O malware pode identificar um sistema vulnerável e escanear unidades físicas e de rede, fingindo ser um usuário conectado”, explicaram os pesquisadores.
“TattleTale também coleta nomes de controladores de domínio e rouba informações de consulta de políticas LSA (Autoridade de Segurança Local), que são conhecidas por conter informações confidenciais relacionadas a políticas de senha, configurações de segurança e, às vezes, senhas em cache.”
Em suma, os três grupos trabalham em conjunto, ao mesmo tempo que se concentram em tarefas específicas na cadeia de ataque: entrar na área alvo e realizar reconhecimento (Alpha), penetrar profundamente nas redes utilizando vários métodos C2 (Bravo) e extrair dados importantes. . (Charlie).
“Durante todo o combate, o inimigo parecia estar constantemente testando e refinando suas táticas, ferramentas e táticas”, concluíram os pesquisadores. “À medida que usamos técnicas antimalware, eles combinam o uso de suas ferramentas desenvolvidas sob medida com ferramentas padrão de código aberto, normalmente usadas por testadores de penetração legítimos, para testar diferentes combinações”.
