Sophos spürt neuartigen Keylogger "Tattletale" auf


Sophos X-Ops: Vom chinesischen Staat gesponserte Spionageoperation Crimson Palace expandiert in Südostasien
Nationalstaatliche Gruppen schwenken über zu Open-Source-Werkzeugen


Der Report "Crimson Palace: New Tools, Tactics, Targets" von Sophos beschreibt die jüngsten Entwicklungen in einer fast zwei Jahre dauernden, chinesischen Cyberspionage-Kampagne in Südostasien. Die Sophos-Experten berichteten über ihre Entdeckungen mit den Titel Operation Crimson Palace zuerst im Juni dieses Jahres und beschrieben detailliert ihre Funde zur chinesischer Staatsaktivität innerhalb einer hochrangigen Regierungsorganisation von drei separaten Clustern – Cluster Alpha, Cluster Bravo und Cluster Charlie. Nach einer kurzen Pause im August 2023 fiel Sophos X-Ops erneute Cluster Bravo- und Cluster Charlie-Aktivitäten auf, beide innerhalb der ursprünglichen Zielorganisation und in mehreren anderen Organisationen innerhalb der Region.

Angreifer nutzen Open Source Tools
Während Sophos X-Ops diese neuen Aktivitäten untersuchten, enthüllten die Experten einen neuartigen Keylogger, den die Threat Hunter als "Tattletale" bezeichneten, also quasi eine "Quasselstrippe", die sich als Nutzer ausgeben kann und sich im System eingeloggt und Informationen sammelt, die mit Passwort-Regeln, Sicherheitseinstellungen, gecachten Passwörtern, Browserinformationen und Sicherungsdateien in Verbindung stehen. Die Analysten beobachten in ihrem Report auch, dass Cluster Charlie im Vergleich zur ersten Welle der Operation immer stärker Open Source Tools benutzt, statt die Typen angepasster Schadsoftware einzusetzen, die sie für ihre anfängliche Aktivitätswelle entwickelt haben.

Paul Jaramillo, Director Threat Hunting and Threat Intelligence bei Sophos, ordnet die Ergebnisse folgendermaßen ein: "Wir befinden uns in einem laufenden Schachspiel mit diesen Gegnern. Während der ersten Phase der Operation setzte Cluster Charlie verschiedene maßgeschneiderte Werkzeuge und Schadsoftware ein. Allerdings waren wir in der Lage, einen Großteil ihrer früheren Infrastruktur zu zerstören, ihre Command and Control Tools zu blocken und sie zum Umschwenken zu zwingen. Ihr kurzfristiger Schwenk hin zu Open-Source-Werkzeugen demonstriert allerdings, wie schnell diese Angreifergruppen sich anpassen und wie hartnäckig sie sind."

Alle Cluster teilen ihre Tools mit chinesischen Bedrohungsgruppen
Cluster Charlie, dessen Taktiken, Techniken und Verfahren (TTPs) mit denen der chinesischen Bedrohungsgruppe Earth Longzhi übereinstimmen, war ursprünglich von März bis August 2023 aktiv. Das Cluster ruhte für ein paar Wochen, tauchte im September 2023 wieder auf und war seitdem bis mindestens Mai 2024 aktiv. Während dieser zweiten Kampagnenstufe konzentrierte sich Cluster Charlie darauf, tiefer in das angegriffene Netzwerk einzudringen, Endpoint Detection and Response (EDR)-Funktionalitäten auszuweichen und weitere Informationen zu sammeln. Zusätzlich zum Wechsel zu Open-Source-Werkzeugen fing Cluster Charlie an, Taktiken zu verwenden, die anfänglich von Cluster Alpha und Cluster Bravo eingesetzt wurden. Dies deutet darauf hin, dass die gleiche übergreifende Organisation alle drei Aktivitäts-Cluster steuert. Sophos X-Ops hat die laufenden Cluster Charlie-Aktivitäten zudem bei mehreren anderen Organisationen in Südostasien verfolgt.

Operation Crimson Palace expandiert in Südostasien
Das Cluster Bravo, das TTPs mit der chinesischen Bedrohungsgruppe Unfading Sea Haze teilt, war ursprünglich nur im anvisierten Netzwerk für eine dreiwöchige Spanne im März 2023 aktiv. Allerdings tauchte das Cluster im Januar 2024 wieder auf – nur dieses Mal zielte es auf mindestens elf andere Organisationen und Agenturen in derselben Region ab.

"Wir beobachten nicht nur, wie alle drei Crimson-Palace-Cluster ihre Taktiken verfeinern und koordinieren, sondern sie ihre Operationen außerdem mit der Absicht ausweiten, andere Ziele in Südostasien zu infiltrieren. Die Tatsache, dass nationalstaatliche Gruppierungen aus China ihre Infrastruktur und Werkzeuge teilen und sowohl Cluster Bravo als auch Cluster Charlie sich über das ursprüngliche Ziel hinaus bewegen, macht es sehr wahrscheinlich, dass sich die Kampagne weiterentwickelt", so Jaramillo. (Sophos: ra)

eingetragen: 08.12.24
Newsletterlauf: 05.02.25

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Infostealer-Malware auf Suche nach Zugangsdaten Malware "Perfctl" befällt seit Jahren Linux-Server

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen