یک گروه جاسوسی چینی که قبلاً نامشخص بود، علیرغم استفاده از تاکتیکها، تکنیکها و رویههای استاندارد کرایه (TTP) موفق شده است حداقل 70 سازمان را در 23 کشور، از جمله 48 سازمان در فضای دولتی، زیر پا بگذارد.
به نظر نمی رسد که "Earth Krahang" یک APT نظامی سطح بالا باشد. که در یک گزارش جدیدمحققان Trend Micro پیشنهاد کردند که ممکن است یکی از بالهای آن باشد iSoon، یک عملیات هک برای استخدام خصوصی توسط حزب کمونیست چین (حکپی) منعقد شده است. و با تطبیق چنین عملیات سایبری، به جای استفاده از بدافزارهای بسیار پیچیده و تاکتیک های مخفی، از زرادخانه ای از ابزارهای متن باز و کاملاً مستند، به علاوه آسیب پذیری های یک روزه و مهندسی اجتماعی استاندارد، برای شکست دادن اهداف خود استفاده می کند.
با وجود این، فهرست قربانیان آن با لیستی مانند قربانیان رقابت می کند ولت تایفون, بلک تکو موستانگ پاندا.
این گروه با هدف قرار دادن 116 سازمان در 35 کشور، حداقل 70 توافق تایید شده، از جمله چهار دوجین مرتبط با دولت های مختلف جهان، دارد. در یک مورد، توانست به طیف گسترده ای از سازمان های مرتبط با 11 وزارتخانه دولتی نفوذ کند. قربانیان همچنین بخشهای آموزشی و مخابراتی، مالی، فناوری اطلاعات، ورزش و غیره را شامل شدهاند. بیشترین غلظت قربانیان مربوط به آسیا است، اما موارد مربوط به قاره آمریکا (مکزیک، برزیل، پاراگوئه)، اروپا (بریتانیا، مجارستان) و آفریقا (مصر، آفریقای جنوبی) نیز میباشد.
Callie Guenther، مدیر ارشد تحقیقات تهدیدات سایبری در Critical Start می گوید: «استفاده از ابزارهای منبع باز برای به خطر انداختن نهادهای دولتی قابل توجه است، اما کاملاً تعجب آور نیست. دولتها اغلب زیرساختهای فناوری اطلاعات گسترده و پیچیدهای دارند که میتواند منجر به ناهماهنگی در شیوههای امنیتی شود و دفاع در برابر انواع حملات، از جمله حملاتی که از ابزارهای منبع باز اولیه استفاده میکنند، دشوار میسازد.
تاکتیک های نفوذ زمین کراهنگ
برخی از APTهای چینی موفق خود را با آن متمایز می کنند صفر روز منحصر به فرد or تاکتیک های پیچیده ای که آن ها به کار می برند بهتر از بقیه
ارت کراهنگ بیشتر یک جک از همه تجارت است.
اولین اقدام آن اسکن وب برای یافتن سرورهای عمومی مورد علاقه، مانند سرورهای متصل به سازمان های دولتی است. برای بررسی آسیبپذیریهایی که میتواند از آن استفاده کند، از یکی از هر تعدادی از ابزارهای منبع باز، خارج از قفسه، از جمله sqlmap، nuclei، xray، vscan، pocsuite، و wordpressscan استفاده میکند. دو باگ مخصوصاً که Earth Krahang دوست دارد آنها را شکار کند عبارتند از CVE-2023-32315 - یک اشکال اجرای دستور در سرور همکاری بلادرنگ Openfire با رتبه 7.5 توسط CVSS - و CVE-2022-21587 - یک مشکل اجرای دستور با رتبه 9.8 حیاتی. با یکپارچه ساز دسکتاپ برنامه های کاربردی وب در مجموعه کسب و کار الکترونیکی اوراکل.
پس از ایجاد یک نگهدارنده روی یک سرور عمومی، گروه از نرمافزار منبع باز بیشتری برای اسکن فایلهای حساس، گذرواژهها (مخصوصاً برای ایمیل) و سایر منابع مفید مانند زیردامنههای تنها که ممکن است به سرورهای نگهداری نشده بیشتر اشاره کنند، استفاده میکند. همچنین تعدادی از حملات brute force را به کار می گیرد - به عنوان مثال، استفاده از لیستی از رمزهای عبور رایج برای شکستن سرورهای Microsoft Exchange از طریق Outlook در وب.
جان کلی، معاون اطلاعات تهدید در Trend Micro میگوید: اگرچه به نظر میرسد که منبع باز باید به راحتی قابل شناسایی باشد، اما واقعیت این است که بسیاری از TTPها در اینجا وجود دارند که باید پیدا و شناسایی شوند. همچنین استفاده از تاکتیکهای فرار دفاعی توسط این دشمن میتواند برای اطمینان از ناتوانی قربانیان برای دفاع استفاده شود.»
تاکتیکهای استثمار و مخفی کاری Earth Krahang
با پایان همه این موارد (و خیلی بیشتر)، مهاجم میتواند دو عمل اصلی را انجام دهد: درهای پشتی را روی سرورهای در معرض خطر رها کند و حسابهای ایمیل را ربوده کند.
دومی کاربرد خاصی دارد. Clay توضیح میدهد: «استفاده از سیستمهای قانونی و حسابهای ایمیل برای پشتیبانی از حمله آنها در اینجا بسیار جالب است، زیرا این دشمن از حسابهای قانونی استفاده میکند تا قربانی را فریب دهد تا فکر کند امن است. این گروه با فهرستی از مخاطبین با ارزش و مشروعیتی که با استفاده از یک حساب درست حسابی به دست میآورد، ایمیلهایی را با موضوعاتی که با این موضوع مطابقت دارند ارسال میکند - مانند "بخشنامه وزارت دفاع مالزی" - آدرسهای اینترنتی مخرب یا پیوستها و نام فایلهایی که این کار را انجام میدهند. همان - به عنوان مثال "در سفر وزیر خارجه پاراگوئه به ترکمنستان.exe."
چه از طریق ایمیل یا یک آسیب پذیری در یک سرور وب، اهداف مختلف Earth Krahang در نهایت یک یا چند درب پشتی را دانلود می کنند.
در اولین حملات خود، در حدود سال 2022، این گروه از "RESHELL"، یک ابزار سفارشی دات نت نسبتاً ساده برای جمع آوری اطلاعات، حذف فایل ها و اجرای دستورات سیستم، با ارتباطات فرمان و کنترل رمزگذاری شده با AES (C2) استفاده کرد.
در سال 2023، گروه به «XDealer» نقل مکان کرد که دارای قابلیتهای بیشتری از جمله ثبت صفحه کلید، اسکرین شات و سرقت از کلیپ بورد است. علاوه بر سازگاری با ویندوز و لینوکس، XDealer همچنین قابل توجه است زیرا برخی از لودرهای آن حاوی گواهینامه های امضای کد معتبر هستند. Trend Micro حدس میزند که این گواهیها - یکی متعلق به یک شرکت منابع انسانی قانونی و دیگری متعلق به یک شرکت سازنده بازی - احتمالاً به سرقت رفتهاند تا یک لایه پوشش اضافی در هنگام بارگیری بدافزار در سیستمهای جدید فراهم کنند.
زمین کراهنگ نیز از آن استفاده کرده است تهدیدات قدیمی مانند PlugX و سایه بانو اغلب Cobalt Strike را در ترکیب با ابزار منبع باز دیگری (RedGuard) به کار می گیرد که از تحلیلگران امنیت سایبری جلوگیری می کند تا زیرساخت های C2 خود را ثابت کنند.
از آنجایی که عامل تهدید نسبتاً مستقیم تیراندازی می کند، گونتر پیشنهاد می کند که «بهترین شیوه های استاندارد برای محافظت در برابر این TTP ها توصیه می شود. سازمان ها باید امنیت ایمیل خود را برای دفاع در برابر نیزه فیشینگ افزایش دهند، به طور منظم سیستم های خود را برای محافظت در برابر آسیب پذیری های شناخته شده به روز کرده و وصله کنند و از تقسیم بندی شبکه برای محدود کردن گسترش یک مهاجم در شبکه های خود استفاده کنند. نظارت بر ترافیک غیرعادی شبکه و الگوهای دسترسی غیرمعمول نیز می تواند به شناسایی زودهنگام چنین کمپین هایی کمک کند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents