Sophos ver\u00f6ffentlichte heute seinen Bericht \u201eOperation Crimson Palace: Sophos Threat Hunting Unveils Multiple Clusters of Chinese State-Sponsored Activity Targeting Southeast Asia\u201c<\/a>, in dem eine hochentwickelte, fast zweij\u00e4hrige Spionagekampagne gegen ein hochrangiges Regierungsziel detailliert unter die Lupe genommen wird. Im Rahmen der 2023 gestarteten Untersuchung von Sophos X-Ops fand das Managed-Detection-and Response-Team (MDR) drei verschiedene Aktivit\u00e4tscluster, die auf dieselbe Organisation abzielten. Zwei davon umfassten Taktiken, Techniken und Verfahren (TTP), die sich mit bekannten chinesischen, nationalstaatlichen Gruppen \u00fcberschneiden: BackdoorDiplomacy, APT15 und die APT41-Untergruppe Earth Longzhi.<\/p>\n Die Angreifer konzipierten ihre Operation mit dem Ziel, bestimmte Nutzer auszusp\u00e4hen sowie sensible politische, wirtschaftliche und milit\u00e4rische Informationen zu sammeln. Dabei verwendeten sie w\u00e4hrend der Kampagne, die Sophos \u201eCrimson Palace\u201c nennt, eine Vielzahl unterschiedlicher Malware und Tools. Dazu geh\u00f6ren zwei bisher unbekannte Malware-St\u00e4mme: ein Backdoor- und ein Persistenz-Tool, die Sophos \u201eCCoreDoor\u201c bzw. \u201ePocoProxy\u201c nannte.<\/p>\n Unterschiedliche chinesische Angreifer nutzen gemeinsame Infrastruktur Jaramillo weiter: \u201eW\u00e4hrend westliche Regierungen das Bewusstsein f\u00fcr Cyberbedrohungen aus China sch\u00e4rfen https:\/\/www.reuters.com\/world\/uk\/china-poses-genuine-increasing-cyber-risk-uk-spy-agency-head-says-2024-05-14\/<\/a>, ist die von Sophos aufgedeckte \u00dcberschneidung eine wichtige Erinnerung daran, dass eine zu starke Konzentration auf einen einzelnen chinesischen Akteur dazu f\u00fchren kann, dass Unternehmen Gefahr laufen, Trends bei der Art und Weise zu \u00fcbersehen, wie diese Gruppen ihre Operationen koordinieren. Durch den Blick \u00fcber den Tellerrand hinaus k\u00f6nnen Unternehmen ihre Abwehrma\u00dfnahmen intelligenter gestalten.\u201c<\/p>\n So deckte Sophos X-Ops das Bewegungsmuster der Cluster auf Cluster Alpha war von Anfang M\u00e4rz bis mindestens August 2023 aktiv und setzte eine Vielzahl von Malware ein, die sich auf die Deaktivierung des AV-Schutzes, die Ausweitung von Berechtigungen und die Durchf\u00fchrung von Aufkl\u00e4rung konzentrierte. Dazu geh\u00f6rte eine aktualisierte Version der EAGERBEE-Malware, die mit der chinesischen Bedrohungsgruppe REF5961 in Verbindung gebracht wird. Cluster Alpha nutzte auch TTPs und Malware, die sich mit denen von den chinesischen Bedrohungsgruppen BackdoorDiplomacy, APT15, Worok und TA428 \u00fcberschneiden.<\/p>\n Cluster Bravo war im M\u00e4rz 2023 nur drei Wochen lang im Zielnetzwerk aktiv und bewegte sich auf Schleichfahrt durch das Netzwerk des Opfers, um unentdeckt eine CCore-Hintert\u00fcr zu laden. Diese Aktion richtete externe Kommunikationswege f\u00fcr die Angreifer ein, f\u00fchrte eine Erkennung durch und exfiltrierte Anmeldeinformationen.<\/p>\n Cluster Charlie war von M\u00e4rz 2023 bis mindestens April 2024 aktiv, mit Schwerpunkt auf Spionage und Exfiltration. Dazu geh\u00f6rte der Einsatz von PocoProxy, einem Persistenztool, das sich als ausf\u00fchrbare Microsoft-Datei ausgibt und die Kommunikation mit der Befehls- und Kontrollinfrastruktur der Angreifer aufbaut. Cluster Charlie arbeitete daran, eine gro\u00dfe Menge sensibler Daten f\u00fcr Spionagezwecke zu exfiltrieren, darunter milit\u00e4rische und politische Dokumente sowie Anmeldeinformationen\/Tokens f\u00fcr den weiteren Zugriff innerhalb des Netzwerks. Cluster Charlie teilt TTPs mit der chinesischen Bedrohungsgruppe Earth Longzhi, einer gemeldeten Untergruppe von APT41. Im Gegensatz zu Cluster Alpha und Cluster Bravo bleibt Cluster Charlie aktiv.<\/p>\n \u201eWas wir bei dieser Kampagne gesehen haben, ist die aggressive Entwicklung von Cyberspionageoperationen im S\u00fcdchinesischen Meer. Wir haben mehrere Bedrohungsgruppen, wahrscheinlich mit unbegrenzten Ressourcen, die wochen- oder monatelang dieselbe hochrangige Regierungsorganisation ins Visier nehmen, und sie verwenden fortschrittliche benutzerdefinierte Malware, die mit \u00f6ffentlich verf\u00fcgbaren Tools verkn\u00fcpft ist. Sie waren und sind immer noch in der Lage, sich innerhalb einer Organisation nach Belieben zu bewegen und ihre Werkzeuge h\u00e4ufig zu wechseln. Mindestens einer der Aktivit\u00e4tscluster ist immer noch sehr aktiv und versucht, weitere \u00dcberwachungen durchzuf\u00fchren. Angesichts der H\u00e4ufigkeit, mit der sich die Aktivit\u00e4ten dieser chinesischen Bedrohungsgruppen \u00fcberschneiden und diese Tools gemeinsam nutzen, ist es m\u00f6glich, dass die TTPs und neuartige Malware, die wir in dieser Kampagne beobachtet haben, auch in anderen chinesischen Operationen weltweit wieder auftauchen. Wir werden die Geheimdienste \u00fcber unsere Erkenntnisse auf dem Laufenden halten, w\u00e4hrend wir unsere Untersuchungen zu diesen drei Clustern fortsetzen\u201c, so Jaramillo.<\/p>\n Alle Infos \u00fcber die Spionagekampagne gibt es im Blogartikel \u201eOperation Crimson Palace: Sophos Threat Hunting Unveils Multiple Clusters of Chinese State-Sponsored Activity Targeting Southeast Asia\u201c<\/a>.<\/p>\n N\u00e4here Details zu den Aktivit\u00e4ten der drei Angriffscluster gibt es im Artikel \u201eOperation Crimson Palace: A Technical Deep Dive\u201c.<\/a><\/p>\n<\/p><\/div>\n
<\/strong>\u201eDie verschiedenen Cluster scheinen im Sinne chinesischer Staatsinteressen gearbeitet zu haben, indem sie milit\u00e4rische und wirtschaftliche Informationen zur Unterst\u00fctzung der Strategien des Landes im S\u00fcdchinesischen Meer gesammelt haben\u201c, so Paul Jaramillo, Director Threat Hunting & Threat Intelligence bei Sophos. \u201eIn dieser speziellen Kampagne glauben wir, dass die drei Cluster unter der Leitung einer zentralen staatlichen Beh\u00f6rde parallel gegen dasselbe Ziel vorgegangen sind. Innerhalb eines der drei von uns identifizierten Cluster \u2013 Cluster Alpha \u2013 sahen wir \u00dcberschneidungen zwischen Malware und TTPs mit vier separat gemeldeten chinesischen Bedrohungsgruppen. Es ist bekannt, dass chinesische Angreifer Infrastruktur und Tools gemeinsam nutzen, und diese j\u00fcngste Kampagne ist ein mahnendes Beispiel daf\u00fcr, wie umfassend diese Gruppen ihre Tools und Techniken teilen.\u201c<\/p>\n
<\/strong>Die Experten von Sophos X-Ops erfuhren erstmals im Dezember 2022 von b\u00f6swilligen Aktivit\u00e4ten im Netzwerk der Zielorganisation, als sie ein Datenexfiltrationstool fanden, das zuvor der chinesischen Bedrohungsgruppe Mustang Panda<\/a> zugeschrieben wurde. Von da an begann das MDR-Team mit einer umfassenderen Suche nach b\u00f6swilligen Aktivit\u00e4ten. Im Mai 2023 entdeckte das Sophos X-Ops Threat Hunting Team eine anf\u00e4llige, ausf\u00fchrbare VMWare-Datei und nach der Analyse drei verschiedene Aktivit\u00e4tscluster im Netzwerk des Ziels, im Folgenden Cluster Alpha Cluster Bravo und Cluster Charlie benannt.<\/p>\n
![](\"https:\/\/news.sophos.com\/wp-content\/uploads\/2024\/05\/shutterstock_601044416.jpg\"\/)
<\/p>\n