Es wurden drei Gruppen von Bedrohungsaktivitäten mit Verbindungen zu China beobachtet, die im Rahmen einer erneuten staatlich unterstützten Operation mit dem Codenamen Crimson Palace weitere Regierungsorganisationen in Südostasien kompromittierten, was auf eine Ausweitung des Spionageaktivitäten hindeutet.
Das Cybersicherheitsunternehmen Sophos, das die Cyberoffensive überwacht hat, sagte, dass sie drei Angriffsgruppen umfasst, die als Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) und Cluster Charlie (STAC1305) bezeichnet werden. STAC ist eine Abkürzung für „Security Threat Activity Cluster“.
„Die Angreifer nutzten konsequent andere kompromittierte Netze von Organisationen und öffentlichen Einrichtungen in dieser Region, um Malware und Tools unter dem Deckmantel eines vertrauenswürdigen Zugangspunkts zu verbreiten“, sagten die Sicherheitsforscher Mark Parsons, Morgan Demboski und Sean Gallagher in einem technischen Bericht, der The Hacker News zur Verfügung gestellt wurde.
Ein bemerkenswerter Aspekt der Angriffe ist, dass sie die Nutzung der Systeme einer ungenannten Organisation als Relaispunkt für Command-and-Control (C2) und als Sammelpunkt für Tools beinhalten. Der kompromittierte Microsoft Exchange Server einer zweiten Organisation soll zum Hosten von Malware genutzt worden sein.
Crimson Palace wurde erstmals Anfang Juni 2024 von dem Cybersicherheitsunternehmen dokumentiert, wobei die Angriffe zwischen März 2023 und April 2024 stattfanden.
Während die anfänglichen Aktivitäten im Zusammenhang mit Cluster Bravo, die sich mit einer Bedrohungsgruppe namens Unfading Sea Haze überschneiden, auf März 2023 beschränkt waren, wurde eine neue Angriffswelle zwischen Januar und Juni 2024 beobachtet, die sich gegen elf weitere Organisationen und Behörden in derselben Region richtete.
Eine Reihe neuer Angriffe, die von Cluster Charlie, einem Cluster, der als Earth Longzhi bezeichnet wird, orchestriert wurden, wurde ebenfalls zwischen September 2023 und Juni 2024 identifiziert. Einige davon beinhalten auch den Einsatz von C2-Frameworks wie Cobalt Strike, Havoc und XieBroC2, um die Post-Exploitation zu erleichtern und zusätzliche Nutzlasten wie SharpHound für die Active Directory-Infrastrukturkartierung bereitzustellen.
„Die Exfiltration von Daten mit nachrichtendienstlichem Wert war nach der Wiederaufnahme der Aktivitäten weiterhin ein Ziel“, so die Forscher. „Ein Großteil ihrer Bemühungen schien sich jedoch darauf zu konzentrieren, ihr Fußfassen im Zielnetzwerk wiederherzustellen und zu erweitern, indem sie EDR-Software umgingen und den Zugriff schnell wiederherstellten, wenn ihre C2-Implantate blockiert worden waren.“
Ein weiterer wichtiger Aspekt ist Cluster Charlies starke Abhängigkeit von DLL-Hijacking, um Malware auszuführen, ein Ansatz, der zuvor von den Angreifern hinter Cluster Alpha verfolgt wurde, was auf eine „Kreuzbestäubung“ von Taktiken hindeutet.
Zu den anderen Open-Source-Programmen, die von den Angreifern verwendet werden, gehören RealBlindingEDR und Alcatraz, die es ermöglichen, Antivirenprozesse zu beenden und portable ausführbare Dateien (z. B. .exe, .dll und .sys) zu verschleiern, um unter dem Radar zu fliegen.
Abgerundet wird das Malware-Arsenal des Clusters durch einen bisher unbekannten Keylogger mit dem Codenamen TattleTale, der ursprünglich im August 2023 identifiziert wurde und in der Lage ist, Browserdaten von Google Chrome und Microsoft Edge zu sammeln.
„Die Malware kann Fingerabdrücke des kompromittierten Systems erstellen und nach eingehängten physischen und Netzwerklaufwerken suchen, indem sie sich als angemeldeter Benutzer ausgibt“, erklärten die Forscher.
„TattleTale sammelt auch den Namen des Domänencontrollers und stiehlt die LSA (Local Security Authority) Query Information Policy, von der bekannt ist, dass sie sensible Informationen in Bezug auf Passwortrichtlinien, Sicherheitseinstellungen und manchmal zwischengespeicherte Passwörter enthält.“
Kurz gesagt, die drei Cluster arbeiten Hand in Hand und konzentrieren sich gleichzeitig auf bestimmte Aufgaben in der Angriffskette: Infiltration der Zielumgebungen und Durchführung von Aufklärung (Alpha), tiefes Eindringen in die Netzwerke mit verschiedenen C2-Mechanismen (Bravo) und Exfiltration wertvoller Daten (Charlie).
„Während des gesamten Einsatzes schien der Gegner seine Techniken, Werkzeuge und Praktiken ständig zu testen und zu verfeinern“, so das Fazit der Forscher. „Als wir Gegenmaßnahmen für ihre maßgeschneiderte Malware einsetzten, kombinierten sie die Verwendung ihrer selbst entwickelten Tools mit generischen Open-Source-Tools, die häufig von legitimen Penetrationstestern verwendet werden, und testeten verschiedene Kombinationen.“