crimson palace
Ricerche sulle CyberMinacce

Il ritorno del Crimson Palace: Nuovi strumenti, tattiche e obiettivi

La campagna cinese di cyber-spionaggio rinnova gli sforzi in diverse organizzazioni del sud-est asiatico, combinando nuove tattiche ed espandendo i suoi obiettivi
Scritto da , ,
17 Settembre 2024
Security Operations Threat Research BackdoorDiplomacy Chinese APT Crimson Palace Earth Longzhi featured REF5961 Sophos X-Ops TA428 Unfading Sea Haze

Dopo un breve periodo di inattività, Sophos X-Ops continua a osservare e a rispondere a quella che, a nostro avviso, è un’operazione di cyber-spionaggio diretta dallo Stato cinese e che ha come obiettivo un’importante agenzia del governo di una nazione del Sud-Est asiatico.

Nel corso delle indagini su questa attività, che abbiamo identificato con il nome di Operazione Crimson Palace, Sophos Managed Detection and Response (MDR) ha rilevato una telemetria che indica la compromissione di altre organizzazioni governative nella regione e ha individuato attività correlate a questi cluster di minacce esistenti in altre organizzazioni della stessa regione. Gli aggressori hanno costantemente utilizzato altre reti di aziende e servizi pubblici compromessi in quella regione per distribuire malware e strumenti con la scusa di un punto di accesso affidabile

Il nostro precedente rapporto riguardava l’attività di tre cluster di minacce alla sicurezza (STAC) associati all’attività di cyber-spionaggio: il Cluster Alpha (STAC1248), il Cluster Bravo (STAC1870) e il Cluster Charlie (STAC1305), tutti rilevati tra marzo e agosto 2023. Tutti e tre i cluster di minacce che operavano all’interno della proprietà dell’agenzia bersaglio si sono disattivati nell’agosto 2023.

Tuttavia, il Cluster Charlie ha ripreso l’attività diverse settimane dopo. Questo fenomeno, che comprendeva un keylogger precedentemente non documentato che abbiamo chiamato “TattleTale”, ha segnato l’inizio di una seconda fase e di un’espansione dell’azione di intrusione in tutta la regione, che è tuttora in corso.

Sophos MDR ha inoltre osservato una serie di rilevamenti in linea con gli strumenti utilizzati dal Cluster Bravo presso entità esterne all’agenzia governativa oggetto del nostro rapporto iniziale, tra cui due enti non governativi di servizio pubblico e altre realtà, tutte con sede nella stessa regione. Questi rilevamenti includevano la telemetria che mostrava l’uso dei sistemi di un’organizzazione come punto di collegamento C2 e come terreno di stoccaggio per gli strumenti, nonché lo stoccaggio del malware sul server Microsoft Exchange compromesso di un’altra entità.

Continua a leggere…

Mark Parsons
L’autore

Mark Parsons is a threat hunter for Sophos Managed Detection and Response. He specializes in threat hunting, digital forensics, and incident response. Previous notable achievements include identifying multi-month nation state intrusions; working with multiple states’ cybersecurity programs before, during, and after the 2020 election cycle to improve their detection and response capabilities; finding rarely seen (second reporter) bugs in Microsoft Azure/CAP logs; and identifying multiple initial access brokers prior to their targets’ being compromised by second actors.

Morgan Demboski, Sophos X-Ops (MDR)
L’autore

Morgan is a Threat Intelligence Analyst for the Sophos Managed Detection and Response (MDR) team, where her focuses include tactical cyber intelligence, data enrichment, and monitoring emerging threats. With a Masters in Intelligence and Security Studies, her areas of interest span beyond the cyber realm to include geopolitics and international security. In past roles, Morgan worked in the Network Detection and Response (NDR) space, where she focused on tracking attack patterns, analyzing command-and-control infrastructure, and threat research reporting.

Sean Gallagher
L’autore

Sean Gallagher is Principal Threat Researcher, Sophos X-Ops. Prior to joining Sophos, he was an information security and technology journalist for over 30 years, including 10 as information security and national security editor for Ars Technica.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *