Le cyberespionnage soutenu par l’État chinois cible le gouvernement d’Asie du Sud-Est
Une organisation gouvernementale anonyme de haut niveau en Asie du Sud-Est est devenue la cible d’une opération de cyberespionnage « complexe et de longue durée » parrainée par l’État chinois et baptisée Crimson Palace .
“L’objectif général de la campagne était de maintenir l’accès au réseau cible pour le cyberespionnage afin de soutenir les intérêts de l’État chinois”, ont déclaré les chercheurs de Sophos Paul Jaramillo, Morgan Demboski, Sean Gallagher et Mark Parsons dans un rapport partagé avec The Hacker News.
“Cela inclut l’accès aux systèmes informatiques critiques, la reconnaissance d’utilisateurs spécifiques, la collecte d’informations militaires et techniques sensibles et le déploiement de divers implants de logiciels malveillants pour les communications de commandement et de contrôle (C2).”
Le nom de l’organisation gouvernementale n’a pas été divulgué, mais la société a déclaré que le pays est connu pour avoir des conflits répétés avec la Chine sur le territoire de la mer de Chine méridionale , ce qui soulève la possibilité que ce soient les Philippines, qui ont été ciblées par l’État chinois. des groupes parrainés comme Mustang Panda dans le passé.
Crimson Palace comprend trois clusters d’intrusion , dont certains partagent les mêmes tactiques, bien qu’il existe des preuves d’activités plus anciennes remontant à mars 2022 –
- Cluster Alpha (mars 2023 – août 2023), qui présente un certain degré de similitude avec les acteurs suivis comme BackdoorDiplomacy , REF5961 , Worok et TA428
- Cluster Bravo (mars 2023), qui présente des points communs avec Unfading Sea Haze , et
- Cluster Charlie (mars 2023 – avril 2024), qui chevauche Earth Longzhi , un sous-groupe au sein d’APT41
Sophos a évalué que ces groupes d’activités qui se chevauchaient faisaient probablement partie d’une campagne coordonnée orchestrée sous la direction d’une seule organisation.
L’attaque se distingue par l’utilisation de logiciels malveillants non documentés comme PocoProxy ainsi que d’une version mise à jour d’ EAGERBEE , aux côtés d’autres familles de logiciels malveillants connues comme NUPAKAGE , PowHeartBeat , RUDEBIRD, DOWNTOWN (PhantomNet) et EtherealGh0st (alias CCoreDoor).
/>D’autres caractéristiques de la campagne incluent l’utilisation intensive du chargement latéral de DLL et des tactiques inhabituelles pour rester sous le radar.
« Les auteurs de la menace ont exploité de nombreuses nouvelles techniques d’évasion, telles que l’écrasement des DLL en mémoire pour détacher le processus de l’agent AV Sophos du noyau, l’abus des logiciels AV pour le chargement latéral et l’utilisation de diverses techniques pour tester les méthodes les plus efficaces et les plus évasives pour exécuter leurs charges utiles. “, ont déclaré les chercheurs.
Une enquête plus approfondie a révélé que le Cluster Alpha s’est concentré sur la cartographie des sous-réseaux de serveur, l’énumération des comptes d’administrateur et la reconnaissance de l’infrastructure Active Directory, le Cluster Bravo donnant la priorité à l’utilisation de comptes valides pour les mouvements latéraux et à l’abandon d’EtherealGh0st.
L’activité associée au Cluster Charlie, qui a duré la plus longue période, a impliqué l’utilisation de PocoProxy pour établir la persistance sur les systèmes compromis et le déploiement de HUI Loader , un chargeur personnalisé utilisé par plusieurs acteurs du lien chinois, pour lancer Cobalt Strike.
“Les clusters observés reflètent les opérations de deux ou plusieurs acteurs distincts travaillant en tandem avec des objectifs partagés”, ont noté les chercheurs. “Les clusters observés reflètent le travail d’un seul groupe doté d’un large éventail d’outils, d’infrastructures diverses et de plusieurs opérateurs.”
Cette divulgation intervient alors que la société de cybersécurité Yoroi a détaillé les attaques orchestrées par l’acteur APT41 (alias Brass Typhoon, HOODOO et Winnti) ciblant des organisations en Italie avec une variante du malware PlugX (alias Destroy RAT et Korplug) connue sous le nom de KEYPLUG .
“Écrit en C++ et actif depuis au moins juin 2021, KEYPLUG propose des variantes pour les plates-formes Windows et Linux”, a déclaré Yoroi . “Il prend en charge plusieurs protocoles réseau pour le trafic de commande et de contrôle (C2), notamment HTTP, TCP, KCP sur UDP et WSS, ce qui en fait un outil puissant dans l’arsenal de cyberattaques d’APT41.”
Cela fait également suite à un avis du Centre canadien pour la cybersécurité mettant en garde contre l’augmentation des attaques de piratage informatique soutenu par l’État chinois visant à infiltrer le gouvernement, les infrastructures critiques et les secteurs de la recherche et du développement.
« L’activité des cybermenaces en [République populaire de Chine] dépasse celle des autres cybermenaces d’États-nations en termes de volume, de sophistication et d’étendue du ciblage », a déclaré l’agence , dénonçant l’utilisation de routeurs et de logements compromis pour les petits bureaux et les bureaux à domicile (SOHO). techniques à l’extérieur du territoire pour mener des activités de cybermenace et éviter d’être détectées.