Les cybergroupes parrainés par des États se tournent vers les outils open-source.

L’équipe SophosX-Ops a découvert le nouveau keylogger « Tattletale ».

PARIS, FR — septembre 11, 2024 —

Sophos, l’un des premiers éditeurs mondiaux de solutions de sécurité innovantes conçues pour neutraliser les cyberattaques,annonce ce jour la publication d’une nouvelle étude intitulée «Crimson Palace: New Tools, Tactics, Targets» (Opération Crimson Palace : nouveaux outils, tactiques, cibles), qui présente par le menu les tout derniers développements d’une campagne de cyberespionnage chinoise menée pendant près de deux ans en Asie du Sud-Est. Les membres de l’équipe transversale SophosX-Ops ont communiqué pour la première fois au mois de juin sur ce qu’ils ont appelé l’«opération Crimson Palace» et exposé en détail leur découverte de trois pôles distincts pilotés par l’état chinois — le cluster Alpha, le cluster Bravo et le cluster Charlie — à l’intérieur d’une organisation de premier plan. Après une trêve de courte durée en août 2023, l’équipe SophosX-Ops a constaté une reprise de l’activité des clusters Bravo et Charlie au sein de l’organisation initialement ciblée, mais également de plusieurs autres organisations de la région.

En enquêtant sur ce regain d’activité, SophosX-Ops a découvert un nouveau «keylogger» que les chasseurs de menaces ont baptisé «Tattletale»; cet enregistreur est capable de se faire passer pour des utilisateurs connectés au système et de recueillir des informations relatives à la gestion des mots de passe, aux paramètres de sécurité, aux mots de passe mis en cache, aux informations de navigation et aux données de stockage. Dans son rapport, SophosX-Ops note également que contrairement à la première vague de l’opération, le Cluster Charlie utilise de plus en plus des outils open-source au lieu de déployer les malwares personnalisés qu’ils avaient développés lors de la première vague d’activité.

«Nous jouons une partie d’échecs permanente avec ces adversaires. Au cours des premières phases de l’opération, le cluster Charlie a déployé divers outils et malwares sur mesure», a déclaré Paul Jaramillo, director, threat hunting and threat intelligence de Sophos. «Cependant, nous sommes parvenus à «brûler» une grande partie de leur infrastructure précédente en bloquant leurs outils de commandement et de contrôle (C2) et en les forçant à changer leur fusil d’épaule. C’est une bonne chose, mais l’adoption d’outils open-source montre à quel point ces groupes de cyberattaquants sont capables de s’adapter rapidement et de rester opérationnels sur la durée. Il semblerait en outre que nous assistions à une tendance émergente parmi les groupes parrainés par l’État chinois. À l’heure où la communauté de la cybersécurité met tout en œuvre pour protéger ses systèmes les plus sensibles contre ces agresseurs, il est important de partager les informations relatives à ce changement de cap.»

Le cluster Charlie, qui partage des tactiques, techniques et procédures (TTP) avec le groupe chinois EarthLongzhi, a été initialement actif de mars à août 2023 à l’intérieur d’une organisation gouvernementale de haut niveau en Asie du Sud-Est. Après avoir été mis en sommeil pendant plusieurs semaines, le cluster a été réactivé en septembre 2023 pour demeurer actif au moins jusqu’en mai 2024. Au cours de cette deuxième phase de la campagne, le cluster Charlie s’est efforcé de pénétrer plus profondément dans le réseau, échappant aux outils de détection et de réponse au niveau des systèmes endpoint (EDR) et recueillant davantage de renseignements. Outre l’adoption d’outils open-source, le cluster Charlie a également commencé à appliquer des tactiques initialement déployées par les clusters Alpha et Bravo, ce qui laisse entendre que les trois pôles sont pilotés par le même groupe. L’équipe SophosX-Ops a suivi les activités du cluster Charlie dans de nombreuses autres organisations d’Asie du Sud-Est.

L’activité du cluster Bravo, qui partage des TTP avec le groupe de menaces chinois Unfading Sea Haze, s’est initialement limitée au réseau ciblé pendant trois semaines en mars 2023. Le cluster a refait surface en janvier 2024, ciblant cette fois au moins 11 autres organisations et agences de la région.

«Nous constatons non seulement que les trois clusters «Crimson Palace» peaufinent et coordonnent leurs tactiques, mais également qu’ils étendent leurs opérations en tentant d’infiltrer d’autres cibles en Asie du Sud-Est. Compte tenu de la fréquence à laquelle les groupes parrainés par l’État chinois partagent leurs infrastructures et leurs outils, et sachant que l’activité des clusters Bravo et Charlie s’étend au-delà de leur cible initiale, il est probable que cette campagne va continuer d’évoluer, potentiellement dans de nouveaux endroits. C’est pourquoi nous suivons ses activités de près», a ajouté Paul Jaramillo.

Pour en savoir plus, lire l’étude «Crimson Palace: New Tools, Tactics, Targets» sur le site Sophos.com. Pour plus de détails sur les services de chasse aux menaces et les autres services proposés par Sophos pour contrer les cyberattaques, rendez-vous sur la page consacrée au produit Managed Detection and Response (MDR).

Pour une étude approfondie de la chasse aux menaces menée dans le cadre de cette campagne de cyberespionnage de près de deux ans, inscrivez-vous au prochain webinaire «Intrigue of the hunt: Operation Crimson Palace : Unveiling a Multi-Headed State-Sponsored Campaign» qui aura lieu le 24 septembre à 14heures ET :https://events.sophos.com/operation-crimson-palace/.

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.