Expansão de espionagem na Ásia
11 de Setembro de 2024

Um trio de grupos de atividades de ameaças vinculado à China foi observado comprometendo mais organizações governamentais no Sudeste Asiático como parte de uma operação patrocinada pelo estado renovada, codinome Crimson Palace, indicando uma expansão no escopo do esforço de espionagem.

A firma de cibersegurança Sophos, que tem monitorado a ofensiva cibernética, disse que ela compreende três conjuntos de intrusões rastreados como Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) e Cluster Charlie (STAC1305).

STAC é uma abreviação para "security threat activity cluster" (cluster de atividades de ameaças de segurança).

"Os atacantes consistentemente usaram outras redes organizacionais e de serviços públicos comprometidas naquela região para entregar malware e ferramentas sob o disfarce de um ponto de acesso confiável", disseram os pesquisadores de segurança Mark Parsons, Morgan Demboski e Sean Gallagher em um relatório técnico.

Um aspecto notável dos ataques é que envolve o uso dos sistemas de uma organização sem nome como um ponto de relé de comando e controle (C2) e um ponto de preparação para as ferramentas.

Diz-se que um servidor Microsoft Exchange comprometido de uma segunda organização foi utilizado para hospedar o malware.

Crimson Palace foi documentado pela primeira vez pela empresa de cibersegurança no início de junho de 2024, com os ataques ocorrendo entre março de 2023 e abril de 2024.

Enquanto a atividade inicial associada ao Cluster Bravo, que se sobrepõe a um grupo de ameaças chamado Unfading Sea Haze, era confinada a março de 2023, uma nova onda de ataques detectada entre janeiro e junho de 2024 foi observada visando outras 11 organizações e agências na mesma região.

Um conjunto de novos ataques orquestrados pelo Cluster Charlie, um cluster que é referido como Earth Longzhi, também foi identificado entre setembro de 2023 e junho de 2024, alguns dos quais também envolvem a implantação de diferentes frameworks C2 como Cobalt Strike, Havoc e XieBroC2 para facilitar a pós-exploração e entregar payloads adicionais como SharpHound para mapeamento de infraestrutura do Active Directory.

"A exfiltração de dados de valor de inteligência ainda era um objetivo após a retomada da atividade", disseram os pesquisadores.

No entanto, muito do seu esforço pareceu focar em reestabelecer e ampliar sua presença na rede alvo, contornando softwares EDR e restabelecendo rapidamente o acesso quando seus implantes C2 haviam sido bloqueados.

Outro aspecto significativo é a forte dependência do Cluster Charlie em hijacking de DLL para executar malware, uma abordagem previamente adotada pelos atores de ameaças por trás do Cluster Alpha, indicando uma "polinização cruzada" de táticas.

Alguns dos outros programas de código aberto usados pelo ator de ameaça incluem RealBlindingEDR e Alcatraz, que permitem encerrar processos de antivírus e ofuscar arquivos executáveis portáteis (por exemplo, .exe, .dll e .sys) com o objetivo de passar despercebidos.

Completando o arsenal de malware do cluster está um keylogger anteriormente desconhecido, codinome TattleTale, que foi originalmente identificado em agosto de 2023 e é capaz de coletar dados dos navegadores Google Chrome e Microsoft Edge.

"O malware pode identificar o sistema comprometido e verificar discos físicos e drives de rede montados, fingindo ser um usuário logado", explicaram os pesquisadores.

TattleTale também coleta o nome do controlador de domínio e rouba as informações de política de consulta da LSA (Local Security Authority), que é conhecida por conter informações sensíveis relacionadas a políticas de senha, configurações de segurança e, às vezes, senhas armazenadas em cache.

Em resumo, os três clusters trabalham em conjunto, ao mesmo tempo que se concentram em tarefas específicas na cadeia de ataques: Infiltrando ambientes alvo e conduzindo reconhecimento (Alpha), aprofundando-se nas redes usando vários mecanismos C2 (Bravo) e extraindo dados valiosos (Charlie).

"Ao longo do engajamento, o adversário pareceu testar e refinar continuamente suas técnicas, ferramentas e práticas", concluíram os pesquisadores.

Conforme implantamos contramedidas para o malware sob medida deles, eles combinaram o uso de suas ferramentas desenvolvidas sob medida com ferramentas genéricas de código aberto frequentemente usadas por testadores de penetração legítimos, testando diferentes combinações.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...