Campania sofisticată de hacking atribuită unui grup chinez cunoscut sub numele de ‘Earth Krahang’ a reușit să spargă 70 de organizații și să vizeze cel puțin 116 în 45 de țări.
Potrivit cercetătorilor de la Trend Micro care monitorizează activitatea, campania este în desfășurare încă din începutul anului 2022 și se concentrează în principal pe organizațiile guvernamentale.
Mai exact, hackerii au compromis 48 de organizații guvernamentale, dintre care 10 sunt ministere de Externe, și au vizat alte 49 de agenții guvernamentale.
Atacatorii exploatează serverele vulnerabile expuse pe internet și folosesc e-mailuri de spear-phishing pentru a implementa backdoor-uri personalizate pentru spionaj cibernetic.
Earth Krahang își abuzează prezența pe infrastructura guvernamentală spartă pentru a ataca alte guverne, construiește servere VPN pe sistemele compromise și efectuează forțare pentru a sparge parolele conturilor de e-mail valoroase.
Actorii de amenințare folosesc unelte open-source pentru a scana serverele publice pentru vulnerabilități specifice, cum ar fi CVE-2023-32315 (Openfire) și CVE-2022-21587 (Control Web Panel).
Exploatezând aceste probleme, ei implementează webshells pentru a obține acces neautorizat și a stabili persistența în rețelele victimelor.
În mod alternativ, ei folosesc spear-phishing-ul ca vector de acces inițial, cu mesaje tematice în jurul unor subiecte geopolitice pentru a atrage destinatarii să deschidă atașamentele sau să facă clic pe linkuri.
Odată ce sunt în interiorul rețelei, Earth Krahang folosește infrastructura compromisă pentru a găzdui sarcini malitioase, a dirija traficul de atac și a folosi conturile de e-mail guvernamentale sparte pentru a-și viza colegii sau alte guverne cu e-mailuri de spear-phishing.
‘Am observat că Earth Krahang obține sute de adrese de e-mail ale țintelor lor în timpul fazei de recunoaștere’, se arată în raportul Trend Micro.
‘Într-un caz, actorul a folosit o cutie poștală compromisă de la o entitate guvernamentală pentru a trimite un atașament malițios la 796 de adrese de e-mail care aparțin aceleiași entități.’
Aceste e-mailuri conțin atașamente malițioase care descarcă backdoor-uri pe computerele victimelor, răspândind infecția și obținând redundanță în cazul detectării și curățării.
Trend Micro spune că atacatorii folosesc conturile compromise Outlook pentru a forța parolele de Exchange, în timp ce scripturile Python specializate în exfiltrarea e-mailurilor din serverele Zimbra au fost de asemenea observate.
Grupul de amenințare construiește, de asemenea, servere VPN pe serverele publice compromise folosind SoftEtherVPN pentru a stabili accesul la rețelele private ale victimelor lor și pentru a-și extinde capacitatea de a se deplasa lateral în acele rețele.
Având stabilită prezența pe rețea, Eath Krahang implementează malware și unelte precum Cobalt Strike, RESHELL și XDealer, care oferă capacități de execuție a comenzilor și colectare de date.
XDealer este mai sofisticat și complex dintre cele două backdoor-uri, deoarece suportă Linux și Windows și poate face capturi de ecran, înregistra apăsările tastelor și intercepta datele din clipboard.
Trend Micro spune că inițial a găsit legături între Earth Krahang și actorul de origine chineză Earth Lusca, pe baza suprapunerilor de control și comandă (C2), dar a determinat că acesta este un cluster separat.
Este posibil ca ambele grupuri de amenințare să opereze sub compania chineză I-Soon, lucrand ca o forță de lucru dedicată pentru spionaj cibernetic asupra entităților guvernamentale.
De asemenea, RESHELL a fost asociat anterior cu grupul ‘Gallium’, iar XDealer cu hackerii de la ‘Luoyu’. Cu toate acestea, informațiile oferite de Trend Micro arată că aceste unelte sunt probabil partajate între actorii de amenințare, fiecare utilizând o cheie de criptare distinctă.
Lista completă a indicatorilor de compromis (IoCs) pentru această campanie Earth Krahang este publicată separat aici.
Hackerii de la Blackwood preiau actualizarea WPS Office pentru a instala malware
Violarea datelor agenției de șomaj franceze afectează 43 de milioane de oameni
Elveția: Ransomware-ul Play a scurs 65.000 de documente guvernamentale
Inginerul Google prins furând secrete tehnologice AI pentru companiile chineze
Hackerii se prezintă ca agenții guvernamentali americani în atacurile BEC
Leave a Reply