Een niet nader genoemde, spraakmakende overheidsorganisatie in Zuidoost-Azië is het doelwit geworden van een ‘complexe, langlopende’ door de Chinese staat gesponsorde cyberspionageoperatie met de codenaam Karmozijnrood Paleis.
“Het algemene doel achter de campagne was het behouden van toegang tot het doelnetwerk voor cyberspionage ter ondersteuning van de Chinese staatsbelangen”, aldus Sophos-onderzoekers Paul Jaramillo, Morgan Demboski, Sean Gallagher en Mark Parsons in een rapport gedeeld met The Hacker News.
“Dit omvat toegang tot kritieke IT-systemen, het uitvoeren van verkenningen van specifieke gebruikers, het verzamelen van gevoelige militaire en technische informatie en het inzetten van verschillende malware-implantaten voor command-and-control (C2) communicatie.”
De naam van de overheidsorganisatie is niet bekendgemaakt, maar het bedrijf zei dat bekend is dat het land herhaaldelijk in conflict is met China over grondgebied in de Zuid-Chinese Zee, waardoor de mogelijkheid ontstaat dat het de Filipijnen zijn, die het doelwit zijn van de Chinese staatssteun. gesponsorde groepen zoals Mustang Panda in het verleden.
Crimson Palace bestaat uit drie inbraakclusters, waarvan sommige dezelfde tactieken delen, hoewel er aanwijzingen zijn voor oudere activiteiten die teruggaan tot maart 2022.
- Cluster Alfa (maart 2023 – augustus 2023), dat enige gelijkenis vertoont met acteurs die worden gevolgd als BackdoorDiplomacy, REF5961, Worok en TA428
- Cluster Bravo (maart 2023), dat overeenkomsten vertoont met Unfading Sea Haze, en
- Cluster Charlie (maart 2023 – april 2024), dat overlap heeft met Earth Longzhi, een subgroep binnen APT41
Sophos oordeelde dat deze overlappende activiteitenclusters waarschijnlijk deel uitmaakten van een gecoördineerde campagne, georkestreerd onder leiding van één enkele organisatie.
De aanval valt op door het gebruik van ongedocumenteerde malware zoals PocoProxy en een bijgewerkte versie van EAGERBEE, naast andere bekende malwarefamilies zoals NUPAKAGE, PowHeartBeat, RUDEBIRD, DOWNTOWN (PhantomNet) en EtherealGh0st (ook bekend als CCoreDoor).
Andere kenmerken van de campagne zijn onder meer het uitgebreide gebruik van DLL-sideloading en ongebruikelijke tactieken om onder de radar te blijven.
“De bedreigingsactoren maakten gebruik van vele nieuwe ontwijkingstechnieken, zoals het overschrijven van DLL in het geheugen om het Sophos AV-agentproces los te maken van de kernel, het misbruiken van AV-software voor sideloading en het gebruiken van verschillende technieken om de meest efficiënte en ontwijkende methoden voor het uitvoeren van hun payloads te testen. ” zeiden de onderzoekers.
Uit verder onderzoek is gebleken dat Cluster Alpha zich richtte op het in kaart brengen van serversubnetten, het opsommen van beheerdersaccounts en het uitvoeren van verkenningen op de Active Directory-infrastructuur, waarbij Cluster Bravo prioriteit gaf aan het gebruik van geldige accounts voor laterale verplaatsing en EtherealGh0st liet vallen.
De activiteit in verband met Cluster Charlie, die het langst duurde, omvatte het gebruik van PocoProxy om persistentie op gecompromitteerde systemen tot stand te brengen en de inzet van HUI Loader, een aangepaste lader die door verschillende Chinese nexus-actoren werd gebruikt, om Cobalt Strike te leveren.
“De waargenomen clusters weerspiegelen de activiteiten van twee of meer afzonderlijke actoren die samenwerken met gedeelde doelstellingen”, merkten de onderzoekers op. “De waargenomen clusters weerspiegelen het werk van één enkele groep met een groot scala aan tools, diverse infrastructuur en meerdere operators.”
De onthulling komt op het moment dat cyberbeveiligingsbedrijf Yoroi gedetailleerde aanvallen uitvoert, georkestreerd door de APT41-acteur (ook bekend als Brass Typhoon, HOODOO en Winnti), gericht op organisaties in Italië met een variant van de PlugX-malware (ook bekend als Destroy RAT en Korplug), bekend als KEYPLUG.
“KEYPLUG is geschreven in C++ en actief sinds juni 2021 en heeft varianten voor zowel Windows- als Linux-platforms”, aldus Yoroi. “Het ondersteunt meerdere netwerkprotocollen voor commando- en controleverkeer (C2), waaronder HTTP, TCP, KCP over UDP en WSS, waardoor het een krachtig hulpmiddel is in het cyberaanvalarsenaal van APT41.”
Het volgt ook op een advies van het Canadian Centre for Cyber Security dat waarschuwt voor toenemende aanvallen van door de Chinese staat gesteunde hacking gericht op het infiltreren van de overheid, kritieke infrastructuur en onderzoeks- en ontwikkelingssectoren.
“Cyberdreigingsactiviteiten in de Volksrepubliek China overtreffen andere nationale cyberdreigingen qua omvang, verfijning en reikwijdte van de doelwitten”, aldus het agentschap, waarbij het gebruik van gecompromitteerde routers voor kleine kantoren en thuiskantoren en woon-werkverkeer wordt benadrukt. technieken buiten het land om cyberdreigingsactiviteiten uit te voeren en detectie te voorkomen.
