Sophos hat seinen neuen Report \u201eCrimson Palace: New Tools, Tactics, Targets\u201c<\/a> ver\u00f6ffentlicht. Der Report beschreibt die j\u00fcngsten Entwicklungen in einer fast zwei Jahre dauernden, chinesischen Cyberspionage-Kampagne in S\u00fcdostasien. Die Sophos-Experten berichteten erstmals im Juni mit dem Report Operation Crimson Palace<\/a> \u00fcber ihre Entdeckungen und beschrieben detailliert ihre Funde zu mutma\u00dflich chinesischen Staatsaktivit\u00e4ten innerhalb einer hochrangigen Regierungsorganisation, die von drei separaten Gruppierungen durchgef\u00fchrt wurden \u2013 Cluster Alpha, Cluster Bravo und Cluster Charlie. Nach einer kurzen Pause im August 2023 registrierte Sophos X-Ops erneute Cluster-Bravo- und Cluster-Charlie-Aktivit\u00e4ten, beide innerhalb der urspr\u00fcnglichen Zielorganisation und in mehreren anderen Organisationen innerhalb der Region.<\/p>\n Angreifer nutzen Open Source Tools Paul Jaramillo, Director Threat Hunting and Threat Intelligence bei Sophos, ordnet die Ergebnisse folgenderma\u00dfen ein: \u201eWir befinden uns in einem laufenden Schachspiel mit diesen Gegnern. W\u00e4hrend der ersten Phase der Operation setzte Cluster Charlie verschiedene ma\u00dfgeschneiderte Werkzeuge und Schadsoftware ein. Allerdings waren wir in der Lage, einen Gro\u00dfteil ihrer fr\u00fcheren Infrastruktur zu zerst\u00f6ren, ihre Command and Control Tools zu blocken und sie zum Umschwenken zu zwingen. Ihr Wechsel hin zu Open-Source-Werkzeugen demonstriert, wie schnell diese Angreifergruppen sich anpassen und wie hartn\u00e4ckig sie sind.\u201c<\/p>\n Alle Cluster teilen ihre Tools mit chinesischen Bedrohungsgruppen Operation Crimson Palace expandiert in S\u00fcdostasien \u201eWir beobachten nicht nur, wie alle drei Crimson-Palace-Cluster ihre Taktiken verfeinern und koordinieren, sondern sie ihre Operationen au\u00dferdem mit der Absicht ausweiten, andere Ziele in S\u00fcdostasien zu infiltrieren. Die Tatsache, dass nationalstaatliche Gruppierungen aus China ihre Infrastruktur und Werkzeuge teilen und sowohl Cluster Bravo als auch Cluster Charlie sich \u00fcber das urspr\u00fcngliche Ziel hinaus bewegen, macht es sehr wahrscheinlich, dass sich die Kampagne weiterentwickelt\u201c, so Jaramillo.<\/p>\n<\/p><\/div>\n
<\/strong>W\u00e4hrend der neuen Untersuchungen enth\u00fcllten die Experten einen neuartigen Keylogger, den die Threat Hunter als \u201eTattletale\u201c bezeichneten, also quasi eine \u201eQuasselstrippe\u201c, die sich als Nutzer ausgeben kann und im System einloggt, um Informationen zu sammeln, die mit Passwort-Regeln, Sicherheitseinstellungen, gecachten Passw\u00f6rtern, Browserinformationen und Sicherungsdateien in Verbindung stehen. Die Analysten beobachten in ihrem Report auch, dass Cluster Charlie im Vergleich zur ersten Welle der Operation vermehrt Open Source Tools nutzt, statt die Typen angepasster Schadsoftware einzusetzen, die sie f\u00fcr ihre anf\u00e4ngliche Aktivit\u00e4tswelle entwickelt haben.<\/p>\n
<\/strong>Cluster Charlie, dessen Taktiken, Techniken und Verfahren (TTPs) mit denen der chinesischen Bedrohungsgruppe Earth Longzhi \u00fcbereinstimmen, war urspr\u00fcnglich von M\u00e4rz bis August 2023 aktiv. Das Cluster ruhte f\u00fcr ein paar Wochen, tauchte im September 2023 wieder auf und war seitdem bis mindestens Mai 2024 aktiv. W\u00e4hrend dieser zweiten Kampagnenstufe konzentrierte sich Cluster Charlie darauf, tiefer in das angegriffene Netzwerk einzudringen, Endpoint Detection and Response (EDR)-Funktionalit\u00e4ten auszuweichen und weitere Informationen zu sammeln. Zus\u00e4tzlich zum Wechsel zu Open-Source-Werkzeugen fing Cluster Charlie an, Taktiken zu verwenden, die anf\u00e4nglich von Cluster Alpha und Cluster Bravo eingesetzt wurden. Dies deutet darauf hin, dass die gleiche \u00fcbergreifende Organisation alle drei Aktivit\u00e4ts-Cluster steuert. Sophos X-Ops hat die laufenden Cluster Charlie-Aktivit\u00e4ten zudem bei mehreren anderen Organisationen in S\u00fcdostasien verfolgt.<\/p>\n
<\/strong>Cluster Bravo, dessen TTPs mit denen der chinesischen Bedrohungsgruppe Unfading Sea Haze \u00fcbereinstimmen, war urspr\u00fcnglich nur im anvisierten Netzwerk f\u00fcr eine dreiw\u00f6chige Spanne im M\u00e4rz 2023 aktiv. Allerdings tauchte das Cluster im Januar 2024 wieder auf \u2013 nur dieses Mal zielte es auf mindestens elf andere Organisationen und Agenturen in derselben Region ab.<\/p>\n
![](\"https:\/\/news.sophos.com\/wp-content\/uploads\/2024\/09\/shutterstock_2458057241.jpg\"\/)
<\/p>\n