- Expertní tým Sophos X-Ops zjistil propojení mezi pěti známými čínskými skupinami kyberútočníků, včetně APT41 a BackdoorDiplomacy
- Čínští útočníci využívají dříve nezaznamenaný malware ke špionáži a perzistentním útokům
Sophos, celosvětový lídr v oblasti inovativních bezpečnostních řešení, která zabraňují kybernetickým útokům, zveřejnil zprávu „Operace Crimson Palace: Pronásledovatelé hrozeb odhalili několik skupin čínských, státem sponzorovaných útočníků zaměřených na jihovýchodní Asii“, která podrobně popisuje velmi sofistikovanou, téměř dva roky trvající špionážní kampaň proti vysoce postavenému vládnímu cíli. Během vyšetřování bezpečnostními specialisty z týmu Sophos X-Ops, které začalo v roce 2023, našel tým řízené detekce a reakce na hrozby (MDR) tři odlišné skupiny aktivit zaměřených na stejnou organizaci, z nichž dvě zahrnovaly taktiky, techniky a postupy (TTP), které se překrývají s dobře známými čínskými, státem podporovanými skupinami BackdoorDiplomacy, APT15 a podskupinou APT41 Earth Longzhi.
Útočníci svou operaci připravili s cílem shromažďovat informace o konkrétních uživatelích a citlivé politické, ekonomické i vojenské informace, přičemž v rámci kampaně, kterou Sophos nazval „Crimson Palace“, používali širokou škálu malwaru a dalších nástrojů. Patří mezi ně i dosud nezaznamenaný malware – nástroj pro perzistentní útoky, který Sophos pojmenoval PocoProxy.
„Zdá se, že různé skupiny pracovaly na podpoře čínských státních zájmů, když shromažďovaly vojenské a ekonomické informace týkající se strategií země v Jihočínském moři. V případě této konkrétní kampaně se domníváme, že tyto tři skupiny představují odlišné týmy útočníků, které pod zastřešujícím vedením ústředního státního orgánu pracují paralelně proti stejnému cíli. Pouze v rámci jedné ze tří identifikovaných skupin – pojmenované Cluster Alpha – jsme zaznamenali překrývání malwaru a TTP se čtyřmi samostatně popsanými čínskými skupinami útočníků. Je dobře známo, že čínští útočníci sdílejí infrastrukturu i nástroje, a tato nedávná kampaň připomíná, jak rozsáhle si tyto skupiny předávají své nástroje a techniky.“
„V době, kdy západní vlády zvyšují povědomí o kybernetických hrozbách z Číny, je tento Sophosem odhalený překryv důležitou připomínkou, že přílišné soustředění se na jeden čínský kyberútok může organizace vystavit riziku, že jim uniknou trendy, jak tyto skupiny koordinují své operace,“ řekl Paul Jaramillo, ředitel pro vyšetřování a informace o hrozbách ve společnosti Sophos. „Díky širšímu pohledu mohou organizace lépe řešit svou obranu.“
Tým Sophos X-Ops se poprvé dozvěděl o škodlivé aktivitě v síti cílové organizace v prosinci 2022, když našel nástroj pro exfiltraci dat, který byl dříve připisován čínské skupině útočníků Mustang Panda. Tým Sophos MDR následně zahájil širší pátrání po souvisejících škodlivých aktivitách, přičemž v květnu 2023 odhalilo vyšetřování hrozeb zranitelný spustitelný soubor VMware a po analýze tři různé shluky aktivit v síti cíle: Cluster Bravo, Cluster Charlie a Cluster Alpha.
Cluster Alpha byl aktivní od začátku března nejméně do srpna 2023 a nasadil řadu malwaru zaměřeného na deaktivaci antivirových ochran, zvýšení oprávnění a průzkum. Jednalo se o vylepšenou verzi malwaru EAGERBEE, který byl spojován s čínskou skupinou REF5961. Cluster Alpha také používal TTP a malware, překrývající se s čínskými skupinami útočníků BackdoorDiplomacy, APT15, Worok a TA428.
Cluster Bravo byl v cílové síti aktivní pouze po dobu tří týdnů v březnu 2023 a zaměřil se na úhybné manévry v síti oběti, aby do ní zavedl zadní vrátka s názvem CCoreDoor. Tento „backdoor“ vytváří externí komunikační cesty pro útočníky, provádí průzkum a exfiltraci pověření.
Cluster Charlie byl aktivní od března 2023 nejméně do dubna 2024 a zaměřoval se na špionáž a exfiltraci. To zahrnovalo nasazení PocoProxy, nástroje pro perzistentní útoky, který se maskuje jako spustitelný soubor od Microsoftu a navazuje komunikaci s infrastrukturou útočníků pro velení a řízení. Cluster Charlie pracoval na exfiltraci velkého objemu citlivých dat pro špionážní účely, včetně vojenských a politických dokumentů a pověření či tokenů pro další přístupy v rámci sítě. Cluster Charlie sdílí TTP s čínskou skupinou Earth Longzhi, která je údajně podskupinou APT41. Na rozdíl od Clusteru Alfa a Clusteru Bravo zůstává Cluster Charlie stále aktivní.
„V rámci této kampaně jsme svědky agresivního rozvoje kybernetických špionážních operací v Jihočínském moři. Máme zde několik skupin kyberútočníků, které pravděpodobně disponují neomezenými zdroji a které se týdny či měsíce zaměřují na stejnou, vysoce postavenou vládní organizaci a používají pokročilý specializovaný malware, propojený s veřejně dostupnými nástroji. Byli a stále jsou schopni libovolně se pohybovat po celé organizaci a často střídat své nástroje. Přinejmenším jedna ze skupin je stále velmi aktivní a snaží se provádět další sledování,“ řekl Jaramillo.
„Vhledem k tomu, jak často se tyto čínské skupiny útočníků překrývají a sdílejí nástroje, je možné, že TTP a nový malware, které jsme pozorovali v této kampani, se znovu objeví v dalších čínských operacích po celém světě. Zpravodajskou komunitu budeme informovat o našich zjištěních během pokračujícího vyšetřování těchto tří skupin,“ upozornil Jaramillo.
Více informací o této špionážní kampani najdete ve zprávě „Operace Crimson Palace: Pronásledování hrozeb odhalilo několik skupin čínských, státem sponzorovaných útočníků, zaměřených na jihovýchodní Asii“ na stránkách Sophos.com. Více informací o těchto třech skupinách útočníků najdete v článku „Operace Crimson Palace: Detailní technický rozbor“ na webu Sophos.com.
