Atuadores patrocinados pelo estado chinês têm como alvo uma agência governamental desde pelo menos março de 2023 em uma campanha de ciberespionagem que os pesquisadores acompanham como Crimson Palace.
De acordo com um relatório da empresa de cibersegurança Sophos, a campanha dependeu de novas variantes de malware e três diferentes clusters de atividade que indicam um ataque coordenado.
Embora o acesso inicial não pudesse ser determinado, os pesquisadores observaram atividades relacionadas datando de início de 2022 que utilizaram o malware Nupakage customizado previamente associado ao grupo de ameaças chinês Mustang Panda.
A Sophos identificou três clusters de atividade conectados a conhecidos grupos de ameaças chineses como "BackdoorDiplomacy", "REF5961", "Worok", "TA428" e o subgrupo APT41 Earth Longzhi.
Os analistas avaliaram com alta confiança que a operação desses clusters é coordenada centralmente sob uma única organização.
Cluster Alpha (STAC1248): ativo de início de março a agosto de 2023, focou em implementar variantes atualizadas do malware 'EAGERBEE' capazes de interromper comunicações de rede de agências de segurança.
O principal objetivo era mapear sub-redes de servidores e enumerar contas de administrador realizando reconhecimento na infraestrutura do Active Directory.
A atividade dependeu de múltiplos canais persistentes de comando e controle (C2), incluindo Merlin Agent, backdoor PhantomNet, malware RUDEBIRD e o backdoor PowHeartBeat.
Para evitar detecção, o atuador da ameaça empregou binaries living-off-the-land (LOLBins) para persistência de serviço com privilégios de SYSTEM elevados, e conduziu side-loading de DLL com oito DLLs únicas, explorando Windows Services e binários legítimos da Microsoft.
Cluster Bravo (STAC1807): ativo por apenas três semanas em março de 2023, focou em movimento lateral e persistência, soltando um backdoor anteriormente desconhecido chamado 'CCoreDoor' nos sistemas alvo.
O backdoor estabeleceu comunicações externas C2, realizou descobertas e extraiu credenciais.
O atuador usou versões renomeadas de binários side-loadable assinados para ofuscar a implementação do backdoor e facilitar o movimento lateral, enquanto também sobrescrevia ntdll.dll na memória para desvincular o processo do agente de proteção de endpoint da Sophos do kernel.
Cluster Charlie (SCAT1305): ativo de março de 2023 a pelo menos abril de 2024, engajou-se em gerenciamento de acesso persistente e reconhecimento extensivo por um longo período.
O atuador implementou múltiplas amostras de um malware anteriormente não identificado chamado 'PocoProxy', usado para comunicações persistentes C2.
Eles também usaram o carregador HUI para injetar um Cobalt Strike Beacon em mstsc.exe, embora essas tentativas tenham sido bloqueadas.
Adicionalmente, o atuador da ameaça injetou um interceptor de credenciais de login LSASS para capturar credenciais em controladores de domínio e conduziu uma análise em massa de Event Logs e varreduras de ping automatizadas para mapear usuários e endpoints através da rede.
A campanha Crimson Palace teve como alvo uma agência de um governo do Sudeste Asiático para fins de ciberespionagem.
"Avaliamos com moderada confiança que múltiplos atuadores chineses patrocinados pelo estado têm sido ativos nessa organização governamental de alto perfil do Sudeste Asiático desde pelo menos março de 2022", explica a Sophos.
No geral, os três clusters operaram durante o horário de trabalho padrão chinês (08:00 às 17:00 CST), quebrando o período em três partes que não se sobrepõem, o que indica um alto nível de coordenação.
A Sophos constatou que a atividade maliciosa disparou em alguns casos, como em 12 de junho de 2023, que foi feriado no país alvo.
Isso foi provavelmente para pegar os defensores com equipe reduzida e realizar atividades em um momento em que os sistemas não eram monitorados tão de perto.
Devido à falta de visibilidade, a Sophos não pôde determinar o acesso inicial, mas avalia que o atuador da ameaça teve acesso à rede desde pelo menos março de 2022, com base na detecção do malware Nupakage, que é tipicamente usado para exfiltrar dados.
A atribuição de alta confiança ou a confirmação da relação entre os três clusters é difícil, mas os pesquisadores da Sophos acreditam que a atividade detectada representa "o trabalho de atuadores separados incumbidos por uma autoridade central com objetivos paralelos em busca dos interesses do estado chinês."
Embora a Sophos tenha bloqueado os implantes C2 do atuador da ameaça em agosto de 2023 e a atividade do Cluster Alpha não tenha sido vista desde então, os pesquisadores dizem que a atividade do Cluster Charlie foi observada após algumas semanas de silêncio e o adversário tentou violar a rede e retomar operações "em um ritmo mais acelerado e de maneira mais evasiva."
A Sophos continua monitorando a atividade de intrusão na rede alvo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...