Se ha observado que un trío de grupos de actividad de amenazas vinculados a China comprometen a más organizaciones gubernamentales en el sudeste asiático en una nueva operación patrocinada por el estado con nombre en código. Palacio Carmesílo que indica una expansión en el alcance de los esfuerzos de espionaje.
La firma de ciberseguridad Sophos, que está monitoreando la ofensiva cibernética, dijo que incluía tres grupos de intrusiones identificadas como Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) y Cluster Charlie (STAC1305). STAC significa grupo de actividades de amenazas a la seguridad.
“Los atacantes utilizaron sistemáticamente otras redes organizativas y de servicios comprometidas en esta región para distribuir malware y herramientas al amparo de un punto de acceso confiable”, dijeron los investigadores de seguridad Mark Parsons, Morgan Demboski y Sean Gallagher. dicho en un informe técnico compartido con The Hacker News.
Un aspecto notable de estos ataques es que implican el uso de sistemas de una organización no identificada como punto de retransmisión de comando y control (C2) y base de preparación de herramientas. El servidor Microsoft Exchange comprometido de una segunda organización supuestamente se utilizó para alojar malware.
Crimson Palace fue documentado por primera vez por la empresa de ciberseguridad a principios de junio de 2024, y los ataques tuvieron lugar entre marzo de 2023 y abril de 2024.
Si bien la actividad inicial asociada con Cluster Bravo, que se superpone con un grupo de amenazas llamado Unfading Sea Haze, se limitó a marzo de 2023, se observó una nueva ola de ataques detectada entre enero y junio de 2024 dirigida a otras 11 organizaciones y agencias en la misma región.
También se han identificado una serie de nuevos ataques orquestados por Cluster Charlie, un clúster llamado Earth Longzhi, entre septiembre de 2023 y junio de 2024, algunos de los cuales también implican el despliegue de marcos C2 como Cobalt Strike, Havoc y XieBroC2 para facilitar la postoperación y proporcionar cargas útiles adicionales como perro de caza para mapeo de infraestructura de Active Directory.
“La exfiltración de datos valiosos para la inteligencia seguía siendo un objetivo después de que se reanudaran las operaciones”, dijeron los investigadores. “Sin embargo, gran parte de sus esfuerzos parecían centrarse en restablecer y ampliar su control sobre la red objetivo evitando el software EDR y restaurando rápidamente el acceso cuando sus implantes C2 habían sido bloqueados. »
Otro aspecto importante es la gran dependencia de Cluster Charlie del secuestro de archivos DLL para ejecutar malware, un enfoque adoptado previamente por los actores de amenazas detrás de Cluster Alpha, lo que indica una “polinización cruzada” de tácticas.
Algunos de los otros programas de código abierto utilizados por el actor de amenazas incluyen RealBlindingEDR Y Alcatrazque ayudan a finalizar los procesos antivirus y ocultar archivos ejecutables portátiles (por ejemplo, .exe, .dll y .sys) en un intento de pasar desapercibidos.
El arsenal de malware del clúster se complementa con un registrador de teclas previamente desconocido llamado TattleTale, identificado originalmente en agosto de 2023 y capaz de recopilar datos de los navegadores Google Chrome y Microsoft Edge.
“El malware puede identificar el sistema comprometido y comprobar las unidades físicas y de red montadas haciéndose pasar por un usuario que ha iniciado sesión”, explicaron los investigadores.
“TattleTale también recopila el nombre del controlador de dominio y roba la política de información de consulta de la Autoridad de Seguridad Local (LSA), que se sabe que contiene información confidencial relacionada con políticas de contraseñas, configuraciones de seguridad y, a veces, contraseñas almacenadas en caché. »
En pocas palabras, los tres clústeres trabajan de la mano, mientras se enfocan simultáneamente en tareas específicas en la cadena de ataque: infiltrarse en los entornos objetivo y realizar reconocimiento (Alpha), penetrar profundamente en las redes utilizando varios mecanismos C2 (Bravo) y exfiltrar datos valiosos ( Charly).
“A lo largo del enfrentamiento, el adversario pareció probar y perfeccionar continuamente sus técnicas, herramientas y prácticas”, concluyen los investigadores. “A medida que implementábamos contramedidas contra su malware personalizado, combinaron el uso de sus herramientas desarrolladas a medida con herramientas genéricas de código abierto que suelen utilizar los probadores de penetración legítimos, probando diferentes combinaciones. »