Deskundigen identificeren 3 aan China gelinkte clusters achter cyberaanvallen in Zuidoost-Azië

Er is een drietal clusters van dreigingsactiviteiten waargenomen die verband houden met China en die meer overheidsorganisaties in Zuidoost-Azië in gevaar brengen als onderdeel van een vernieuwde door de staat gesponsorde operatie met de codenaam Karmozijnrood Paleiswat duidt op een uitbreiding van de omvang van de spionage-inspanning.

Cybersecuritybedrijf Sophos, dat het cyberoffensief in de gaten houdt, zei dat het uit drie intrusiesets bestaat, die worden gevolgd als Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) en Cluster Charlie (STAC1305). STAC is een afkorting voor “security threat activity cluster”.

“De aanvallers maakten voortdurend gebruik van andere gecompromitteerde organisatorische en openbare servicenetwerken in die regio om malware en tools te verspreiden onder het mom van een vertrouwd toegangspunt”, aldus beveiligingsonderzoekers Mark Parsons, Morgan Demboski en Sean Gallagher in een technisch rapport dat werd gedeeld met The Hacker News.

Een opmerkelijk aspect van de aanvallen is dat het gebruik van de systemen van een naamloze organisatie als command-and-control (C2) relay point en als staging ground voor tools inhoudt. De gecompromitteerde Microsoft Exchange Server van een tweede organisatie zou zijn gebruikt om malware te hosten.

Crimson Palace werd voor het eerst gedocumenteerd door het cyberbeveiligingsbedrijf begin juni 2024. De aanvallen vonden plaats tussen maart 2023 en april 2024.

Hoewel de oorspronkelijke activiteit van Cluster Bravo, dat overlapt met een dreigingsgroep genaamd Unfading Sea Haze, beperkt bleef tot maart 2023, is er tussen januari en juni 2024 een nieuwe aanvalsgolf waargenomen die gericht was op 11 andere organisaties en agentschappen in dezelfde regio.

Cyberaanvallen in Zuidoost-Azië

Er zijn ook nieuwe aanvallen geïdentificeerd tussen september 2023 en juni 2024, georkestreerd door Cluster Charlie, een cluster dat bekendstaat als Earth Longzhi. Sommige hiervan omvatten ook de implementatie van C2-frameworks zoals Cobalt Strike, Havoc en XieBroC2 om post-exploitatie te vergemakkelijken en extra payloads te leveren, zoals SharpHound voor Active Directory-infrastructuurmapping.

“Exfiltratie van gegevens met inlichtingenwaarde was nog steeds een doel na de hervatting van de activiteit”, aldus de onderzoekers. “Echter, een groot deel van hun inspanning leek gericht te zijn op het opnieuw vestigen en uitbreiden van hun positie op het doelnetwerk door EDR-software te omzeilen en snel toegang te herstellen wanneer hun C2-implantaten waren geblokkeerd.”

Cyberaanvallen in Zuidoost-Azië

Een ander belangrijk aspect is de grote afhankelijkheid van Cluster Charlie van DLL-kaping om malware uit te voeren. Deze aanpak werd eerder al toegepast door de kwaadwillenden achter Cluster Alpha, wat wijst op een ‘kruisbestuiving’ van tactieken.

Enkele andere open-sourceprogramma’s die door de kwaadwillende partij worden gebruikt, zijn RealBlindingEDR en Alcatraz. Deze maken het mogelijk om antivirusprocessen te beëindigen en draagbare uitvoerbare bestanden (bijvoorbeeld .exe, .dll en .sys) te verbergen, met als doel om onopgemerkt te blijven.

Het malware-arsenaal van de groep wordt gecompleteerd door een voorheen onbekende keylogger met de codenaam TattleTale. Deze werd oorspronkelijk in augustus 2023 geïdentificeerd en kan gegevens van de browser Google Chrome en Microsoft Edge verzamelen.

“De malware kan een vingerafdruk maken van het gecompromitteerde systeem en controleren op gekoppelde fysieke en netwerkstations door zich voor te doen als een aangemelde gebruiker”, leggen de onderzoekers uit.

“TattleTale verzamelt ook de naam van de domeincontroller en steelt het LSA (Local Security Authority) Query Information Policy, waarvan bekend is dat het gevoelige informatie bevat met betrekking tot wachtwoordbeleid, beveiligingsinstellingen en soms gecachte wachtwoorden.”

Kort gezegd werken de drie clusters nauw samen, terwijl ze zich tegelijkertijd richten op specifieke taken in de aanvalsketen: het infiltreren van doelomgevingen en het uitvoeren van verkenningen (Alpha), het diep ingraven in de netwerken met behulp van verschillende C2-mechanismen (Bravo) en het exfiltreren van waardevolle gegevens (Charlie).

“Gedurende de hele confrontatie leek de tegenstander voortdurend zijn technieken, tools en praktijken te testen en te verfijnen”, concludeerden de onderzoekers. “Terwijl we tegenmaatregelen namen voor hun op maat gemaakte malware, combineerden ze het gebruik van hun op maat ontwikkelde tools met generieke, open-source tools die vaak worden gebruikt door legitieme penetratietesters, waarbij ze verschillende combinaties testten.”

Thijs Van der Does