Sie sind hier: Startseite » IT Security » Cyber-Angriffe

Sophos spürt neuartigen Keylogger "Tattletale" auf


Sophos X-Ops: Vom chinesischen Staat gesponserte Spionageoperation Crimson Palace expandiert in Südostasien
Nationalstaatliche Gruppen schwenken über zu Open-Source-Werkzeugen


Der Report "Crimson Palace: New Tools, Tactics, Targets" von Sophos beschreibt die jüngsten Entwicklungen in einer fast zwei Jahre dauernden, chinesischen Cyberspionage-Kampagne in Südostasien. Die Sophos-Experten berichteten über ihre Entdeckungen mit den Titel Operation Crimson Palace zuerst im Juni dieses Jahres und beschrieben detailliert ihre Funde zur chinesischer Staatsaktivität innerhalb einer hochrangigen Regierungsorganisation von drei separaten Clustern – Cluster Alpha, Cluster Bravo und Cluster Charlie. Nach einer kurzen Pause im August 2023 fiel Sophos X-Ops erneute Cluster Bravo- und Cluster Charlie-Aktivitäten auf, beide innerhalb der ursprünglichen Zielorganisation und in mehreren anderen Organisationen innerhalb der Region.

Angreifer nutzen Open Source Tools
Während Sophos X-Ops diese neuen Aktivitäten untersuchten, enthüllten die Experten einen neuartigen Keylogger, den die Threat Hunter als "Tattletale" bezeichneten, also quasi eine "Quasselstrippe", die sich als Nutzer ausgeben kann und sich im System eingeloggt und Informationen sammelt, die mit Passwort-Regeln, Sicherheitseinstellungen, gecachten Passwörtern, Browserinformationen und Sicherungsdateien in Verbindung stehen. Die Analysten beobachten in ihrem Report auch, dass Cluster Charlie im Vergleich zur ersten Welle der Operation immer stärker Open Source Tools benutzt, statt die Typen angepasster Schadsoftware einzusetzen, die sie für ihre anfängliche Aktivitätswelle entwickelt haben.

Paul Jaramillo, Director Threat Hunting and Threat Intelligence bei Sophos, ordnet die Ergebnisse folgendermaßen ein: "Wir befinden uns in einem laufenden Schachspiel mit diesen Gegnern. Während der ersten Phase der Operation setzte Cluster Charlie verschiedene maßgeschneiderte Werkzeuge und Schadsoftware ein. Allerdings waren wir in der Lage, einen Großteil ihrer früheren Infrastruktur zu zerstören, ihre Command and Control Tools zu blocken und sie zum Umschwenken zu zwingen. Ihr kurzfristiger Schwenk hin zu Open-Source-Werkzeugen demonstriert allerdings, wie schnell diese Angreifergruppen sich anpassen und wie hartnäckig sie sind."

Alle Cluster teilen ihre Tools mit chinesischen Bedrohungsgruppen
Cluster Charlie, dessen Taktiken, Techniken und Verfahren (TTPs) mit denen der chinesischen Bedrohungsgruppe Earth Longzhi übereinstimmen, war ursprünglich von März bis August 2023 aktiv. Das Cluster ruhte für ein paar Wochen, tauchte im September 2023 wieder auf und war seitdem bis mindestens Mai 2024 aktiv. Während dieser zweiten Kampagnenstufe konzentrierte sich Cluster Charlie darauf, tiefer in das angegriffene Netzwerk einzudringen, Endpoint Detection and Response (EDR)-Funktionalitäten auszuweichen und weitere Informationen zu sammeln. Zusätzlich zum Wechsel zu Open-Source-Werkzeugen fing Cluster Charlie an, Taktiken zu verwenden, die anfänglich von Cluster Alpha und Cluster Bravo eingesetzt wurden. Dies deutet darauf hin, dass die gleiche übergreifende Organisation alle drei Aktivitäts-Cluster steuert. Sophos X-Ops hat die laufenden Cluster Charlie-Aktivitäten zudem bei mehreren anderen Organisationen in Südostasien verfolgt.

Operation Crimson Palace expandiert in Südostasien
Das Cluster Bravo, das TTPs mit der chinesischen Bedrohungsgruppe Unfading Sea Haze teilt, war ursprünglich nur im anvisierten Netzwerk für eine dreiwöchige Spanne im März 2023 aktiv. Allerdings tauchte das Cluster im Januar 2024 wieder auf – nur dieses Mal zielte es auf mindestens elf andere Organisationen und Agenturen in derselben Region ab.

"Wir beobachten nicht nur, wie alle drei Crimson-Palace-Cluster ihre Taktiken verfeinern und koordinieren, sondern sie ihre Operationen außerdem mit der Absicht ausweiten, andere Ziele in Südostasien zu infiltrieren. Die Tatsache, dass nationalstaatliche Gruppierungen aus China ihre Infrastruktur und Werkzeuge teilen und sowohl Cluster Bravo als auch Cluster Charlie sich über das ursprüngliche Ziel hinaus bewegen, macht es sehr wahrscheinlich, dass sich die Kampagne weiterentwickelt", so Jaramillo. (Sophos: ra)

eingetragen: 08.12.24
Newsletterlauf: 05.02.25

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Cyber-Angriffe

  • Die Bedeutung der CBOM

    Ein zentrales Element der digitalen Sicherheit dabei sind kryptografische Systeme und ihre Algorithmen. Doch Kryptografie ist oft noch eine Black Box und nicht selten fehlt das Wissen, welche Algorithmen im Unternehmen zum Einsatz kommen.

  • Trends & Perspektiven der OT-ICS-Sicherheit

    Die Herausforderungen in den Bereichen Operational Technology (OT) und Industrial Control Systems (ICS) hatten 2023 ein noch nie dagewesenes Niveau erreicht. Ransomware - manchmal über neue Ransomware-as-a-Service (RaaS)-Modelle - war zu einem oft kostspieligen Problem geworden. Diese haben sich im Laufe des Jahres 2024 verstärkt.

  • Bedrohungen für Cybersicherheit in Smart Cities

    Da sich Städte weltweit zu Smart Cities entwickeln und fortschrittliche Technologien wie IoT, KI und 5G integrieren, um das städtische Leben zu verbessern, entstehen neue Cybersicherheitsrisiken. Diese Technologien bieten verbesserte Dienstleistungen wie effizientes Verkehrsmanagement und Wasserversorgung, setzen kritische Infrastrukturen aber auch Cyberbedrohungen aus.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen