یک گروه جاسوسی چینی که قبلاً نامشخص بود، علیرغم استفاده از تاکتیک‌ها، تکنیک‌ها و رویه‌های استاندارد کرایه (TTP) موفق شده است حداقل 70 سازمان را در 23 کشور، از جمله 48 سازمان در فضای دولتی، زیر پا بگذارد.

به نظر نمی رسد که "Earth Krahang" یک APT نظامی سطح بالا باشد. که در یک گزارش جدیدمحققان Trend Micro پیشنهاد کردند که ممکن است یکی از بال‌های آن باشد iSoon، یک عملیات هک برای استخدام خصوصی توسط حزب کمونیست چین (ح‌ک‌پی) منعقد شده است. و با تطبیق چنین عملیات سایبری، به جای استفاده از بدافزارهای بسیار پیچیده و تاکتیک های مخفی، از زرادخانه ای از ابزارهای متن باز و کاملاً مستند، به علاوه آسیب پذیری های یک روزه و مهندسی اجتماعی استاندارد، برای شکست دادن اهداف خود استفاده می کند.

با وجود این، فهرست قربانیان آن با لیستی مانند قربانیان رقابت می کند ولت تایفون, بلک تکو موستانگ پاندا.

این گروه با هدف قرار دادن 116 سازمان در 35 کشور، حداقل 70 توافق تایید شده، از جمله چهار دوجین مرتبط با دولت های مختلف جهان، دارد. در یک مورد، توانست به طیف گسترده ای از سازمان های مرتبط با 11 وزارتخانه دولتی نفوذ کند. قربانیان همچنین بخش‌های آموزشی و مخابراتی، مالی، فناوری اطلاعات، ورزش و غیره را شامل شده‌اند. بیشترین غلظت قربانیان مربوط به آسیا است، اما موارد مربوط به قاره آمریکا (مکزیک، برزیل، پاراگوئه)، اروپا (بریتانیا، مجارستان) و آفریقا (مصر، آفریقای جنوبی) نیز می‌باشد.

Callie Guenther، مدیر ارشد تحقیقات تهدیدات سایبری در Critical Start می گوید: «استفاده از ابزارهای منبع باز برای به خطر انداختن نهادهای دولتی قابل توجه است، اما کاملاً تعجب آور نیست. دولت‌ها اغلب زیرساخت‌های فناوری اطلاعات گسترده و پیچیده‌ای دارند که می‌تواند منجر به ناهماهنگی در شیوه‌های امنیتی شود و دفاع در برابر انواع حملات، از جمله حملاتی که از ابزارهای منبع باز اولیه استفاده می‌کنند، دشوار می‌سازد.

تاکتیک های نفوذ زمین کراهنگ

برخی از APTهای چینی موفق خود را با آن متمایز می کنند صفر روز منحصر به فرد or تاکتیک های پیچیده ای که آن ها به کار می برند بهتر از بقیه

ارت کراهنگ بیشتر یک جک از همه تجارت است.

اولین اقدام آن اسکن وب برای یافتن سرورهای عمومی مورد علاقه، مانند سرورهای متصل به سازمان های دولتی است. برای بررسی آسیب‌پذیری‌هایی که می‌تواند از آن استفاده کند، از یکی از هر تعدادی از ابزارهای منبع باز، خارج از قفسه، از جمله sqlmap، nuclei، xray، vscan، pocsuite، و wordpressscan استفاده می‌کند. دو باگ مخصوصاً که Earth Krahang دوست دارد آنها را شکار کند عبارتند از CVE-2023-32315 - یک اشکال اجرای دستور در سرور همکاری بلادرنگ Openfire با رتبه 7.5 توسط CVSS - و CVE-2022-21587 - یک مشکل اجرای دستور با رتبه 9.8 حیاتی. با یکپارچه ساز دسکتاپ برنامه های کاربردی وب در مجموعه کسب و کار الکترونیکی اوراکل.

پس از ایجاد یک نگهدارنده روی یک سرور عمومی، گروه از نرم‌افزار منبع باز بیشتری برای اسکن فایل‌های حساس، گذرواژه‌ها (مخصوصاً برای ایمیل) و سایر منابع مفید مانند زیردامنه‌های تنها که ممکن است به سرورهای نگهداری نشده بیشتر اشاره کنند، استفاده می‌کند. همچنین تعدادی از حملات brute force را به کار می گیرد - به عنوان مثال، استفاده از لیستی از رمزهای عبور رایج برای شکستن سرورهای Microsoft Exchange از طریق Outlook در وب.

جان کلی، معاون اطلاعات تهدید در Trend Micro می‌گوید: اگرچه به نظر می‌رسد که منبع باز باید به راحتی قابل شناسایی باشد، اما واقعیت این است که بسیاری از TTP‌ها در اینجا وجود دارند که باید پیدا و شناسایی شوند. همچنین استفاده از تاکتیک‌های فرار دفاعی توسط این دشمن می‌تواند برای اطمینان از ناتوانی قربانیان برای دفاع استفاده شود.»

تاکتیک‌های استثمار و مخفی کاری Earth Krahang

با پایان همه این موارد (و خیلی بیشتر)، مهاجم می‌تواند دو عمل اصلی را انجام دهد: درهای پشتی را روی سرورهای در معرض خطر رها کند و حساب‌های ایمیل را ربوده کند.

دومی کاربرد خاصی دارد. Clay توضیح می‌دهد: «استفاده از سیستم‌های قانونی و حساب‌های ایمیل برای پشتیبانی از حمله آن‌ها در اینجا بسیار جالب است، زیرا این دشمن از حساب‌های قانونی استفاده می‌کند تا قربانی را فریب دهد تا فکر کند امن است. این گروه با فهرستی از مخاطبین با ارزش و مشروعیتی که با استفاده از یک حساب درست حسابی به دست می‌آورد، ایمیل‌هایی را با موضوعاتی که با این موضوع مطابقت دارند ارسال می‌کند - مانند "بخشنامه وزارت دفاع مالزی" - آدرس‌های اینترنتی مخرب یا پیوست‌ها و نام فایل‌هایی که این کار را انجام می‌دهند. همان - به عنوان مثال "در سفر وزیر خارجه پاراگوئه به ترکمنستان.exe."

چه از طریق ایمیل یا یک آسیب پذیری در یک سرور وب، اهداف مختلف Earth Krahang در نهایت یک یا چند درب پشتی را دانلود می کنند.

در اولین حملات خود، در حدود سال 2022، این گروه از "RESHELL"، یک ابزار سفارشی دات نت نسبتاً ساده برای جمع آوری اطلاعات، حذف فایل ها و اجرای دستورات سیستم، با ارتباطات فرمان و کنترل رمزگذاری شده با AES (C2) استفاده کرد.

در سال 2023، گروه به «XDealer» نقل مکان کرد که دارای قابلیت‌های بیشتری از جمله ثبت صفحه کلید، اسکرین شات و سرقت از کلیپ بورد است. علاوه بر سازگاری با ویندوز و لینوکس، XDealer همچنین قابل توجه است زیرا برخی از لودرهای آن حاوی گواهینامه های امضای کد معتبر هستند. Trend Micro حدس می‌زند که این گواهی‌ها - یکی متعلق به یک شرکت منابع انسانی قانونی و دیگری متعلق به یک شرکت سازنده بازی - احتمالاً به سرقت رفته‌اند تا یک لایه پوشش اضافی در هنگام بارگیری بدافزار در سیستم‌های جدید فراهم کنند.

زمین کراهنگ نیز از آن استفاده کرده است تهدیدات قدیمی مانند PlugX و سایه بانو اغلب Cobalt Strike را در ترکیب با ابزار منبع باز دیگری (RedGuard) به کار می گیرد که از تحلیلگران امنیت سایبری جلوگیری می کند تا زیرساخت های C2 خود را ثابت کنند.

از آنجایی که عامل تهدید نسبتاً مستقیم تیراندازی می کند، گونتر پیشنهاد می کند که «بهترین شیوه های استاندارد برای محافظت در برابر این TTP ها توصیه می شود. سازمان ها باید امنیت ایمیل خود را برای دفاع در برابر نیزه فیشینگ افزایش دهند، به طور منظم سیستم های خود را برای محافظت در برابر آسیب پذیری های شناخته شده به روز کرده و وصله کنند و از تقسیم بندی شبکه برای محدود کردن گسترش یک مهاجم در شبکه های خود استفاده کنند. نظارت بر ترافیک غیرعادی شبکه و الگوهای دسترسی غیرمعمول نیز می تواند به شناسایی زودهنگام چنین کمپین هایی کمک کند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents