Um trio de grupos de atividades de ameaças ligados à China foi observado comprometendo mais organizações governamentais no Sudeste Asiático como parte de uma operação renovada patrocinada pelo estado com o codinome Palácio Carmesimindicando uma expansão no escopo do esforço de espionagem.
A empresa de segurança cibernética Sophos, que vem monitorando a ofensiva cibernética, disse que ela compreende três conjuntos de intrusão rastreados como Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) e Cluster Charlie (STAC1305). STAC é uma abreviação de “safety risk exercise cluster”.
“Os invasores usaram consistentemente outras redes organizacionais e de serviços públicos comprometidas naquela região para distribuir malware e ferramentas sob o disfarce de um ponto de acesso confiável”, disseram os pesquisadores de segurança Mark Parsons, Morgan Demboski e Sean Gallagher em um relatório técnico compartilhado com o The Hacker Information.
Um aspecto notável dos ataques é que eles envolvem o uso de sistemas de uma organização não identificada como um ponto de retransmissão de comando e controle (C2) e um campo de preparação para ferramentas. Dizem que o Microsoft Trade Server comprometido de uma segunda organização foi utilizado para hospedar malware.
O Crimson Palace foi documentado pela primeira vez pela empresa de segurança cibernética no início de junho de 2024, com os ataques ocorrendo entre março de 2023 e abril de 2024.
Embora a atividade inicial associada ao Cluster Bravo, que se sobrepõe a um grupo de ameaças chamado Unfading Sea Haze, tenha se limitado a março de 2023, uma nova onda de ataques detectada entre janeiro e junho de 2024 foi observada tendo como alvo 11 outras organizações e agências na mesma região.
Um conjunto de novos ataques orquestrados pelo Cluster Charlie, um cluster conhecido como Earth Longzhi, também foi identificado entre setembro de 2023 e junho de 2024, alguns dos quais também envolvem a implantação de estruturas C2 como Cobalt Strike, Havoc e XieBroC2 para facilitar a pós-exploração e fornecer cargas úteis adicionais como SharpHound para mapeamento de infraestrutura do Lively Listing.
“A exfiltração de dados de valor de inteligência ainda period um objetivo após a retomada da atividade”, disseram os pesquisadores. “No entanto, muito do esforço deles parecia estar focado em restabelecer e estender sua posição na rede alvo, ignorando o software program EDR e restabelecendo rapidamente o acesso quando seus implantes C2 foram bloqueados.”
Outro aspecto significativo é a forte dependência do Cluster Charlie no sequestro de DLL para executar malware, uma abordagem adotada anteriormente pelos agentes de ameaças por trás do Cluster Alpha, indicando uma “polinização cruzada” de táticas.
Alguns dos outros programas de código aberto usados pelo agente de ameaças incluem o RealBlindingEDR e o Alcatraz, que permitem encerrar processos antivírus e ofuscar arquivos executáveis portáteis (por exemplo, .exe, .dll e .sys) com o objetivo de passar despercebidos.
Completando o arsenal de malware do cluster está um keylogger até então desconhecido, codinome TattleTale, que foi identificado originalmente em agosto de 2023 e é capaz de coletar dados dos navegadores Google Chrome e Microsoft Edge.
“O malware pode identificar o sistema comprometido e verificar se há unidades físicas e de rede montadas, personificando um usuário conectado”, explicaram os pesquisadores.
“O TattleTale também coleta o nome do controlador de domínio e rouba a Política de Informações de Consulta da LSA (Autoridade de Segurança Native), que é conhecida por conter informações confidenciais relacionadas a políticas de senha, configurações de segurança e, às vezes, senhas armazenadas em cache.”
Em poucas palavras, os três clusters trabalham em conjunto, ao mesmo tempo em que se concentram em tarefas específicas na cadeia de ataque: infiltrar-se em ambientes alvo e realizar reconhecimento (Alfa), penetrar profundamente nas redes usando vários mecanismos C2 (Bravo) e extrair dados valiosos (Charlie).
“Ao longo do engajamento, o adversário pareceu testar e refinar continuamente suas técnicas, ferramentas e práticas”, concluíram os pesquisadores. “À medida que implantávamos contramedidas para seu malware personalizado, eles combinavam o uso de suas ferramentas desenvolvidas sob medida com ferramentas genéricas de código aberto, frequentemente usadas por testadores de penetração legítimos, testando diferentes combinações.”
