Διαφορετικές ομάδες Κινέζων κρατικών hackers έχουν στοχοποιήσει μια κυβερνητική υπηρεσία τουλάχιστον από τον Μάρτιο του 2023 στα πλαίσια μιας εκστρατείας κυβερνοκατασκοπείας που παρακολουθείται ως Crimson Palace.

Ερευνητές της Sophos έχουν παρατηρήσει ότι η καμπάνια βασίστηκε σε νέες παραλλαγές malware και οι διαφορετικές ομάδες που συμμετέχουν, υποδεικνύουν μια συντονισμένη επίθεση.

Αν και η αρχική πρόσβαση στην κυβερνητική υπηρεσία δεν έχει προσδιοριστεί, οι ερευνητές παρατήρησαν σχετική δραστηριότητα από τις αρχές του 2022 που χρησιμοποιούσε το custom Nupakage malware το οποίο έχει συσχετιστεί με την κινεζική ομάδα απειλών Mustang Panda.

Δείτε επίσης: Κινέζοι hackers στρέφονται σε δίκτυα μεσολάβησης ORB

Διαφορετικές ομάδες Κινέζων hackers

Η Sophos εντόπισε τρία activity clusters που συνδέονται με γνωστές κινεζικές ομάδες όπως οι “BackdoorDiplomacy“, “REF5961“, “Worok“, “TA428” και η υποομάδα της APT41, “Earth Longzhi“.

Οι ερευνητές διαπίστωσαν ότι αυτά τα activity clusters συντονίζονται από έναν ενιαίο οργανισμό.

Cluster Alpha (STAC1248): ενεργό από τις αρχές Μαρτίου έως τον Αύγουστο του 2023. Επικεντρώθηκε στην ανάπτυξη νέων παραλλαγών του ‘EAGERBEE’ malware που μπόρεσαν να διαταράξουν τις επικοινωνίες δικτύου πρακτορείων ασφαλείας.

Ο κύριος στόχος των Κινέζων hackers ήταν η κυβερνοκατασκοπεία και συγκεκριμένα η χαρτογράφηση των server subnets και η απαρίθμηση των λογαριασμών διαχειριστή πραγματοποιώντας reconnaissance στην υποδομή Active Directory.

Η δραστηριότητα βασίστηκε σε πολλαπλά command and control (C2) channels, συμπεριλαμβανομένων των Merlin Agent, PhantomNet backdoor, RUDEBIRD malware και PowHeartBeat backdoor.

Για να αποφύγουν τον εντοπισμό, οι Κινέζοι hackers χρησιμοποίησαν living-off-the-land binaries (LOLBins) για διατήρηση persistence με αυξημένα προνόμια SYSTEM. Ακόμα, πραγματοποίησαν DLL side-loading με οκτώ μοναδικά DLL, εκμεταλλευόμενοι Windows Services και νόμιμα Microsoft binaries.

Cluster Bravo (STAC1807): ενεργό μόνο για τρεις εβδομάδες τον Μάρτιο του 2023. Εστίασε στο lateral movement και στην διατήρηση persistence, χρησιμοποιώντας ένα νέο backdoor με το όνομα «CCoreDoor». Το backdoor αυτό δημιούργησε εξωτερικές επικοινωνίες C2 και έκλεψε credentials.

Οι Κινέζοι hackers χρησιμοποίησαν μετονομασμένες εκδόσεις signed side-loadable binaries για να αποκρύψουν την ανάπτυξη του backdoor και να διευκολύνουν το lateral movement στα συστήματα.

Cluster Charlie (SCAT1305): ενεργό από τον Μάρτιο του 2023 έως τον Απρίλιο του 2024 (τουλάχιστον). Οι επιτιθέμενοι ανέπτυξαν πολλά δείγματα ενός προηγουμένως άγνωστου κακόβουλου λογισμικού που ονομάζεται “PocoProxy”. Χρησιμοποίησαν επίσης τον HUI loader για να εισάγουν ένα Cobalt Strike Beacon στο mstsc.exe, αν και αυτές οι προσπάθειες αποκλείστηκαν.

Δείτε επίσης: Κινέζοι hackers παραβιάζουν δίκτυα μέσω ευπαθειών ScreenConnect και F5 BIG-IP

Επιπλέον, χρησιμοποιήθηκε ένα εργαλείο υποκλοπής credentials σύνδεσης LSASS και διεξήχθη μια μαζική ανάλυση Event Logs και αυτοματοποιημένες σαρώσεις ping για την χαρτογράφηση χρηστών και τελικών σημείων σε όλο το δίκτυο.

Η εκστρατεία Crimson Palace των Κινέζων hackers στόχευε μια κυβερνητική υπηρεσία της Νοτιοανατολικής Ασίας για σκοπούς κυβερνοκατασκοπείας.

Η Sophos είπε ότι διάφορες ομάδες Κινέζων κρατικών hackers έχουν στοχεύσει την υπηρεσία αυτή τουλάχιστον από τον Μάρτιο του 2022.

Αν και δεν είμαστε επί του παρόντος σε θέση να αποδώσουμε με σιγουριά ή να επιβεβαιώσουμε τη φύση της σχέσης μεταξύ αυτών των clusters, η τρέχουσα έρευνά μας δείχνει ότι οι δραστηριότητες αντικατοπτρίζουν το έργο χωριστών παραγόντων που επιφορτίζονται από μια κεντρική αρχή με παράλληλους στόχους για την επιδίωξη κινεζικών κρατικών συμφερόντων“, είπε η εταιρεία κυβερνοασφάλειας.

Η Sophos διαπίστωσε ότι η κακόβουλη δραστηριότητα αυξήθηκε σε ορισμένες περιπτώσεις, όπως στις 12 Ιουνίου 2023, που ήταν αργία στη χώρα-στόχο (στις αργίες συνήθως δεν υπάρχει πολύ διαθέσιμο προσωπικό για έλεγχο).

Παρόλο που η Sophos μπλόκαρε τα C2 implants των επιτιθέμενων τον Αύγουστο του 2023 και η δραστηριότητα του Cluster Alpha δεν έχει εμφανιστεί έκτοτε, οι ερευνητές λένε ότι η δραστηριότητα του Cluster Charlie εντοπίστηκε ξανά μετά από μερικές εβδομάδες σιωπής.

Δείτε επίσης: Οι Κινέζοι hackers Earth Krahang έχουν παραβιάσει 70 οργανισμούς

Η Sophos συνεχίζει να παρακολουθεί τη δραστηριότητα στο δίκτυο-στόχο.

Η Crimson Palace είναι μια πολύπλοκη και εξαιρετικά εξελιγμένη εκστρατεία κυβερνοκατασκοπείας. Η συνεργασία Κινέζων κρατικών hackers, η χρήση προηγμένων τακτικών και τεχνικών και ο πιθανός αντίκτυπος στην κυβερνοασφάλεια και τις διεθνείς σχέσεις κάνουν αυτή την εκστρατεία μια σημαντική ανησυχία για τις κυβερνήσεις και τους οργανισμούς σε όλο τον κόσμο. Λειτουργεί ως υπενθύμιση της διαρκούς απειλής που αποτελούν οι κρατικές επιθέσεις στον κυβερνοχώρο και της ανάγκης για ενισχυμένα μέτρα κυβερνοασφάλειας για την προστασία από αυτές.  Ως εκ τούτου, είναι ζωτικής σημασίας οι κυβερνητικές υπηρεσίες και οι οργανισμοί να παραμείνουν σε επαγρύπνηση και να λάβουν τα απαραίτητα μέτρα για να ενισχύσουν την άμυνά τους στον τομέα της κυβερνοασφάλειας.  Η συνεργασία μεταξύ των χωρών για την ανταλλαγή πληροφοριών σχετικά με τις απειλές και την εφαρμογή ισχυρών πρωτοκόλλων ασφαλείας μπορεί επίσης να βοηθήσει στον μετριασμό του κινδύνου τέτοιων επιθέσεων στο μέλλον.

Πηγή: www.bleepingcomputer.com