Chinesische Spionagekampagne enttarnt

Sophos News

Beitrag teilen

Die Experten von Sophos haben eine chinesische Spionagekampagne in Südostasien aufgedeckt. Sophos X-Ops findet Verbindungen zwischen fünf bekannten chinesischen Bedrohungsgruppen, darunter APT41 und BackdoorDiplomacy; Angreifer nutzen zwei bisher unbekannte Malware-Varianten für Spionage und Persistenz.

Der Bericht „Operation Crimson Palace: Sophos Threat Hunting Unveils Multiple Clusters of Chinese State-Sponsored Activity Targeting Southeast Asia“, steckt voller Fakten. Er dokumentiert detailliert eine hochentwickelte, fast zweijährige Spionagekampagne gegen ein hochrangiges Regierungsziel.

Chinesische Spionagekampagne läuft bereits zwei Jahre

Im Rahmen der 2023 gestarteten Untersuchung von Sophos X-Ops fand das Managed-Detection-and Response-Team (MDR) drei verschiedene Aktivitätscluster, die auf dieselbe Organisation abzielten. Zwei davon umfassten Taktiken, Techniken und Verfahren (TTP), die sich mit bekannten chinesischen, nationalstaatlichen Gruppen überschneiden: BackdoorDiplomacy, APT15 und die APT41-Untergruppe Earth Longzhi.

Die Angreifer konzipierten ihre Operation mit dem Ziel, bestimmte Nutzer auszuspähen sowie sensible politische, wirtschaftliche und militärische Informationen zu sammeln. Dabei verwendeten sie während der Kampagne eine Vielzahl unterschiedlicher Malware und Tools, die Sophos „Crimson Palace“ nennt. Dazu gehören zwei bisher unbekannte Malware-Stämme: ein Backdoor- und ein Persistenz-Tool, die Sophos „CCoreDoor“ bzw. „PocoProxy“ nannte.

Diverse chinesische Angreifer – eine gemeinsame Infrastruktur

Die verschiedenen Cluster scheinen im Sinne chinesischer Staatsinteressen gearbeitet zu haben, indem sie militärische und wirtschaftliche Informationen zur Unterstützung der Strategien des Landes im Südchinesischen Meer gesammelt haben“, so Paul Jaramillo, Director Threat Hunting & Threat Intelligence bei Sophos. „In dieser speziellen Kampagne glauben wir, dass die drei Cluster unter der Leitung einer zentralen staatlichen Behörde parallel gegen dasselbe Ziel vorgegangen sind.

Innerhalb eines der drei von uns identifizierten Cluster – Cluster Alpha – sahen wir Überschneidungen zwischen Malware und TTPs mit vier separat gemeldeten chinesischen Bedrohungsgruppen. Es ist bekannt, dass chinesische Angreifer Infrastruktur und Tools gemeinsam nutzen, und diese jüngste Kampagne ist ein mahnendes Beispiel dafür, wie umfassend diese Gruppen ihre Tools und Techniken teilen.“

Abwehrmaßnahmen intelligenter gestalten

Jaramillo weiter: „Während westliche Regierungen das Bewusstsein für Cyberbedrohungen aus China schärfen, ist die von Sophos aufgedeckte Überschneidung eine wichtige Erinnerung daran, dass eine zu starke Konzentration auf einen einzelnen chinesischen Akteur dazu führen kann, dass Unternehmen Gefahr laufen, Trends bei der Art und Weise zu übersehen, wie diese Gruppen ihre Operationen koordinieren. Durch den Blick über den Tellerrand hinaus können Unternehmen ihre Abwehrmaßnahmen intelligenter gestalten.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Bitterfeld: Ransomware-Attacke kostete 2,5 Millionen Euro

Der Cyberangriff mit Ransomware auf den Landkreis Bitterfeld vor drei Jahren zeigt die unbequeme Wahrheit: es dauerte Jahre die IT ➡ Weiterlesen

Neue Ransomware-Variante Fog entdeckt

Über die Bedrohungsakteure der neuen Ransomware-Variante namens Fog ist noch nicht viel bekannt. Bisher sind nur US-Amerikanische Organisationen davon betroffen ➡ Weiterlesen

Europol: Fast 600 kriminelle Cobalt Strike-Server ausgeschaltet

Alte und unlizenzierte Versionen von Cobalt Strike, das eigentlich legitime Testtool von Pentestern und Red-Teams, sind in den Händen von ➡ Weiterlesen

Kinsing-Malware – Millionen Angriffe täglich

Seit 2019 ist Kinsing-Malware, die insbesondere Cloud-Native-Infrastrukturen angreift, ständig auf dem Vormarsch. Eine neue Studie stellt Angriffstechniken und -taktiken der ➡ Weiterlesen

Ransomware: Verschlüsselte Backups – verdoppeltes Lösegeld 

Wenn das Backup beim Ransomware-Angriff zum Problem wird: Cyberkriminelle richten ihre Verschlüsselungstaten auch auf Backups aus. Warum? Weil so noch ➡ Weiterlesen

Komplexe IT-Sicherheit: 450 Endgeräte – 3 IT-Mitarbeiter

Viele Unternehmen verwenden mehrere Sicherheitslösungen gleichzeitig. Das führt zu einer hohen Komplexität. Malwarebytes hat in einer internationalen Umfrage 50 Unternehmen ➡ Weiterlesen

Microsoft schickt Kunden Warnung per E-Mail die wie Spam aussieht

Nach der Attacke von Midnight Blizzard im Januar warnte nun Microsoft seine Kunden im Juni per Erklärungs-E-Mail. Dumm nur, dass ➡ Weiterlesen

Daten aus verschlüsselten, virtuellen Festplatten extrahieren

Experten zeigen 6 Methoden, die Security-Profis kennen sollten: Mit ihnen lassen sich Daten aus verschlüsselten, virtuellen Festplatten extrahieren. Das sind ➡ Weiterlesen