I gruppi di hacker statali sono passati all'utilizzo di strumenti open source

Sophos scopre un nuovo keylogger denominato “Tattletale”

MILAN, IT — Settembre 10, 2024 —

Sophos, leader mondiale nell'innovazione delle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato oggi un nuovo report intitolato “Crimson Palace: New Tools, Tactics, Targets” che esamina gli ultimi sviluppi di una campagna di cyberspionaggio cinese attiva da quasi due anni nel Sudest asiatico. Sophos X-Ops ha rilasciato le prime informazioni su quella che è stata ribattezzata Operazione Crimson Palace lo scorsogiugno fornendo i dettagli relativi a tre differenti cluster di attività condotte da entità statali cinesi – Cluster Alpha, Cluster Bravo e Cluster Charlie – all'interno di un'organizzazione governativa di alto profilo. Dopo una breve pausa avvenuta nell'agosto 2023, Sophos X-Ops ha notato una ripartenza delle attività di Cluster Bravo e Cluster Charlie sia all'interno dell'azienda presa di mira inizialmente, sia in numerose altre aziende presenti nella stessa regione.

Nell'investigare questo riavvio delle attività, Sophos X-Ops ha scoperto un nuovo keylogger ribattezzato dai ricercatori “Tattletale” che è in grado di impersonare gli utenti presenti all'interno di un sistema e raccogliere informazioni associate alle policy delle password, alle impostazioni della sicurezza, alle password memorizzate in cache, alle informazioni dei browser e ai dati memorizzati nello storage. Sophos X-Ops fa notare nel report come, a differenza della prima fase dell'operazione, Cluster Charlie sia passato a usare sempre più spesso tool open source al posto del malware custom sviluppato nella parte iniziale delle sue attività.

“Stiamo giocando una partita a scacchi con questi avversari. Nelle fasi iniziali dell'operazione, Cluster Charlie utilizzava vari tool e malware creati su misura”, ricorda Paul Jaramillo, Director, Threat Hunting and Threat Intelligence di Sophos. “Tuttavia, siamo riusciti a neutralizzare buona parte della loro infrastruttura precedente bloccandone i tool C2C (Command and Control) e costringendoli a cambiare strategia. È stato un buon risultato, per quanto il loro passaggio ai tool open source dimostri la velocità con cui questi gruppi riescono ad adattarsi per restare in gioco. Sembra che si tratti di una tendenza emergente tra i gruppi statali cinesi. Per la comunità di specialisti che lavora per proteggere i sistemi più sensibili da attaccanti del genere, è importante condividere gli insight raccolti in occasione di questo cambio di strategia”.

Cluster Charlie, che condivide le tattiche, tecniche e procedure (TTP) del gruppo cinese Earth Longzhi, è stato originariamente attivo da marzo ad agosto 2023 all'interno di un'organizzazione governativa di alto livello del Sudest asiatico. Dopo essere rimasto dormiente per alcune settimane, è riemerso nel settembre 2023 restando nuovamente attivo almeno fino a maggio 2024. Nella seconda fase della campagna, Cluster Charlie si è dedicato a penetrare più in profondità nella rete aggirando i tool EDR (Endpoint Detection and Response) e raccogliendo ulteriore intelligence. Oltre a passare a strumenti open source, Cluster Charlie ha anche iniziato ad adottare tattiche implementate inizialmente da Cluster Alpha e Cluster Bravo, il che suggerisce che tutti questi tre cluster di attività siano diretti dalla medesima organizzazione sovrastante. Sophos X-Ops ha intercettato le attività di Cluster Charlie in numerose altre realtà del Sudest asiatico.

Cluster Bravo, che impiega le stesse TTP del gruppo cinese Unfading Sea Haze, in origine è stato attivo sulla rete colpita solo per tre settimane nel marzo 2023. Questo cluster è poi riapparso nel gennaio 2024 all'interno di almeno altre 11 aziende e agenzie della stessa regione.

“Non solo tutti i tre cluster ‘Crimson Palace’ perfezionano e coordinano le rispettive tattiche, ma stanno anche ampliando le loro operazioni per cercare di infiltrarsi in ulteriori obiettivi attraverso il Sudest asiatico. Considerando la frequenza con cui i gruppi statali cinesi condividono infrastrutture e tool, e il fatto che Cluster Bravo e Cluster Charlie stanno allargandosi oltre il loro obiettivo originale, è probabile che questa campagna continui a evolvere colpendo possibilmente nuovi territori. La terremo sotto stretto controllo”, ha concluso Jaramillo.

Per saperne di più: “Crimson Palace: Nuovi strumenti, tattiche e obiettivi” su Sophos.com.

Per maggiori dettagli sulla caccia alle minacce e su altri servizi di Sophos per interrompere i cyberattacchi, visitate il sito Sophos Managed Detection and Response (MDR).

Per uno sguardo approfondito sulla caccia alle minacce dietro questa campagna di spionaggio informatico durata quasi due anni, registratevi al prossimo webinar “Intrigue of the Hunt: Operazione Crimson Palace: Unveiling a Multi-Headed State-Sponsored Campaign” il 24 settembre alle 14:00https://events.sophos.com/operation-crimson-palace/.

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.
Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.
La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività.  Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.