Сразу три хакерских группы сплелись воедино для нанесения колоссального ущерба.
Киберпреступники, связанные с Китаем, продолжают расширять свои атаки на государственные учреждения Юго-Восточной Азии в рамках новой волны шпионской активности, получившей кодовое название Crimson Palace. Об этом сообщает компания Sophos, занимающаяся мониторингом этих угроз.
Атаки включают три группы, обозначенные исследователями как Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) и Cluster Charlie (STAC1305), каждая из которых действует по определённым сценариям. Согласно отчёту Sophos, злоумышленники используют сети уже взломанных организаций для доставки вредоносных программ, маскируясь под доверенные источники.
Операция Crimson Palace впервые была зафиксирована Sophos в июне 2024 года, а сами атаки начались ещё в марте 2023 года и продолжались вплоть до апреля 2024 года. При этом последние активности, связанные с Cluster Bravo, наблюдались с января по июнь 2024 года и охватили 11 организаций региона.
Особый интерес вызывает Cluster Charlie, также известный как Earth Longzhi. Эта группа была активна с сентября 2023 года по июнь 2024 года, используя различные инструменты для взлома сетей, включая такие известные платформы, как Cobalt Strike и Havoc, что позволило хакерам углубляться в системы и наносить новый вред.
Исследователи отметили, что основная цель атак — это не только сбор ценной разведывательной информации, но и укрепление позиций в сетях жертв. Хакеры стремились обойти системы безопасности и восстановить доступ к инфраструктуре даже после блокировки их вредоносного ПО.
Также стоит отметить активное использование Cluster Charlie техники подмены динамических библиотек (DLL), что ранее применялось и Cluster Alpha, демонстрируя схожие подходы между разными группами.
Помимо прочего, в арсенале хакеров находятся программы RealBlindingEDR и Alcatraz, которые помогают скрываться от антивирусов и маскировать вредоносные файлы. Одним из самых опасных инструментов преступников является новый кейлоггер TattleTale, способный красть данные из браузеров Google Chrome и Microsoft Edge.
Этот вредоносный софт также может собирать информацию о системах жертвы, включая имена контроллеров домена и настройки безопасности, что делает его особенно опасным.
Все три группы действуют совместно, но каждая выполняет свою роль в цепочке атаки: Cluster Alpha занимается проникновением в сети и разведкой, Cluster Bravo углубляется в системы, а Cluster Charlie сосредоточен на похищении данных.
Эксперты рекомендуют организациям уязвимых регионов усилить меры кибербезопасности, включая регулярное обновление программного обеспечения и систем безопасности, мониторинг сетевого трафика, а также внедрение решений для обнаружения и предотвращения угроз.
Особое внимание следует уделять защите почтовых серверов и другим критическим элементам инфраструктуры, так как они становятся основными целями для атак. Постоянная оценка уязвимостей и внедрение проактивных методов защиты помогут снизить риски и минимизировать ущерб от подобных кибершпионских операций.
Ладно, не доказали. Но мы работаем над этим