10 de septiembre de 2024Ravie LakshmananMalware / Ciberespionaje Se ha observado que un trío de grupos de actividades de amenazas vinculados a China comprometen a más organizaciones gubernamentales en el sudeste asiático como parte de una renovada operación patrocinada por el estado con el nombre en código Crimson Palace, lo que indica una expansión en el alcance del esfuerzo de espionaje. La empresa de ciberseguridad Sophos, que ha estado monitoreando la ciberofensiva, dijo que comprende tres conjuntos de intrusiones rastreados como Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) y Cluster Charlie (STAC1305). STAC es una abreviatura de «security threat activity cluster» (grupo de actividades de amenazas a la seguridad). «Los atacantes utilizaron constantemente otras redes de servicios públicos y organizacionales comprometidas en esa región para entregar malware y herramientas bajo la apariencia de un punto de acceso confiable», dijeron los investigadores de seguridad Mark Parsons, Morgan Demboski y Sean Gallagher en un informe técnico compartido con The Hacker News. Un aspecto destacable de los ataques es que implican el uso de los sistemas de una organización anónima como punto de retransmisión de comando y control (C2) y como base de operaciones para las herramientas. Se dice que el servidor Microsoft Exchange Server comprometido de una segunda organización se ha utilizado para alojar malware. Crimson Palace fue documentado por primera vez por la empresa de ciberseguridad a principios de junio de 2024, y los ataques tuvieron lugar entre marzo de 2023 y abril de 2024. Si bien la actividad inicial asociada con Cluster Bravo, que se superpone con un grupo de amenazas llamado Unfading Sea Haze, se limitó a marzo de 2023, se ha observado una nueva ola de ataques detectada entre enero y junio de 2024 dirigida a otras 11 organizaciones y agencias en la misma región. También se ha identificado un conjunto de nuevos ataques orquestados por Cluster Charlie, un clúster al que se hace referencia como Earth Longzhi, entre septiembre de 2023 y junio de 2024, algunos de los cuales también implican el despliegue de los marcos C2 como Cobalt Strike, Havoc y XieBroC2 para facilitar la postexplotación y entregar cargas útiles adicionales como SharpHound para el mapeo de la infraestructura de Active Directory. «La exfiltración de datos de valor de inteligencia siguió siendo un objetivo después de la reanudación de la actividad», dijeron los investigadores. «Sin embargo, gran parte de su esfuerzo parecía estar centrado en restablecer y ampliar su presencia en la red objetivo eludiendo el software EDR y restableciendo rápidamente el acceso cuando sus implantes C2 habían sido bloqueados». Otro aspecto significativo es la gran dependencia de Cluster Charlie del secuestro de DLL para ejecutar malware, un enfoque adoptado anteriormente por los actores de amenazas detrás de Cluster Alpha, lo que indica una «polinización cruzada» de tácticas. Entre los otros programas de código abierto utilizados por el actor de amenazas se encuentran RealBlindingEDR y Alcatraz, que permiten finalizar procesos antivirus y ofuscar archivos ejecutables portables (por ejemplo, .exe, .dll y .sys) con el objetivo de pasar desapercibidos. Para completar el arsenal de malware del grupo se encuentra un keylogger previamente desconocido cuyo nombre en código es TattleTale, que se identificó originalmente en agosto de 2023 y es capaz de recopilar datos de los navegadores Google Chrome y Microsoft Edge. «El malware puede tomar la huella digital del sistema comprometido y comprobar si hay unidades físicas y de red montadas haciéndose pasar por un usuario conectado», explicaron los investigadores. «TattleTale también recopila el nombre del controlador de dominio y roba la Política de información de consulta de LSA (Local Security Authority), que se sabe que contiene información confidencial relacionada con políticas de contraseñas, configuraciones de seguridad y, a veces, contraseñas almacenadas en caché». En pocas palabras, los tres clústeres trabajan de la mano, mientras se centran simultáneamente en tareas específicas en la cadena de ataque: infiltrarse en los entornos objetivo y realizar tareas de reconocimiento (Alpha), adentrarse en las redes mediante diversos mecanismos C2 (Bravo) y extraer datos valiosos (Charlie). «Durante todo el enfrentamiento, el adversario pareció probar y refinar continuamente sus técnicas, herramientas y prácticas», concluyeron los investigadores. «A medida que implementamos contramedidas para su malware a medida, combinaron el uso de sus herramientas desarrolladas a medida con herramientas genéricas de código abierto que suelen utilizar los evaluadores de penetración legítimos, probando diferentes combinaciones». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.