पहले से अज्ञात एक चीनी जासूसी समूह मानक-किराया रणनीति, तकनीक और प्रक्रियाओं (टीटीपी) का उपयोग करने के बावजूद, 70 देशों में कम से कम 23 संगठनों में सेंध लगाने में कामयाब रहा है, जिनमें से 48 सरकारी क्षेत्र में हैं।
"अर्थ क्रहांग" एक उच्च स्तरीय सैन्य एपीटी प्रतीत नहीं होता है। में एक नई रिपोर्टट्रेंड माइक्रो के शोधकर्ताओं ने सुझाव दिया कि यह इसका एक विंग हो सकता है iSoon, एक निजी हैक-फॉर-हायर ऑपरेशन चीनी कम्युनिस्ट पार्टी (CCP) द्वारा अनुबंधित। और इस तरह के साइबर क्राइम ऑपरेशन को फिट करने के लिए, अति-परिष्कृत मैलवेयर और गुप्त रणनीति को नियोजित करने के बजाय, यह अपने लक्ष्यों को हराने के लिए बड़े पैमाने पर खुले स्रोत और अच्छी तरह से प्रलेखित टूल, साथ ही एक दिवसीय कमजोरियों और मानक सोशल इंजीनियरिंग के शस्त्रागार का उपयोग करता है।
इसके बावजूद, इसके पीड़ितों की सूची उन जैसे लोगों की प्रतिद्वंद्वी है वोल्ट टाइफून, ब्लैकटेक, तथा मस्तंग पांडा.
116 देशों में कम से कम 35 संगठनों को लक्षित करने वाले इस समूह के पास कम से कम 70 पुष्ट समझौते हैं, जिनमें विभिन्न विश्व सरकारों से जुड़े चार दर्जन शामिल हैं। एक मामले में, यह 11 सरकारी मंत्रालयों से जुड़े संगठनों की एक विस्तृत श्रृंखला में सेंध लगाने में कामयाब रहा। पीड़ितों ने शिक्षा और दूरसंचार क्षेत्रों, वित्त, आईटी, खेल और अन्य क्षेत्रों को भी कवर किया है। पीड़ितों की सबसे अधिक संख्या एशिया से आती है, लेकिन मामले अमेरिका (मेक्सिको, ब्राजील, पैराग्वे), यूरोप (ब्रिटेन, हंगरी) और अफ्रीका (मिस्र, दक्षिण अफ्रीका) में भी शामिल हैं।
क्रिटिकल स्टार्ट में साइबर खतरा अनुसंधान के वरिष्ठ प्रबंधक कैली गेंथर कहते हैं, "सरकारी संस्थाओं से समझौता करने के लिए ओपन सोर्स टूल का उपयोग उल्लेखनीय है, लेकिन पूरी तरह से आश्चर्यजनक नहीं है।" "सरकारों के पास अक्सर विशाल और जटिल आईटी अवसंरचना होती है, जो सुरक्षा प्रथाओं में विसंगतियों को जन्म दे सकती है और बुनियादी ओपन सोर्स टूल का उपयोग करने सहित सभी प्रकार के हमलों से बचाव करना मुश्किल बना सकती है।"
पृथ्वी क्रहांग की घुसपैठ रणनीति
कुछ सफल चीनी एपीटी अपनी अलग पहचान बनाते हैं अद्वितीय शून्य-दिन or वे जटिल रणनीति अपनाते हैं हर किसी से बेहतर.
अर्थ क्रहांग एक जैक-ऑफ-ऑल-ट्रेड से अधिक है।
इसका पहला कदम सार्वजनिक हित के सर्वर, जैसे कि सरकारी संगठनों से जुड़े सर्वर, के लिए वेब को स्कैन करना है। जिन कमजोरियों का वह लाभ उठा सकता है, उनकी जांच करने के लिए, यह sqlmap, न्यूक्लियर, एक्सरे, vscan, pocsuite, और WordPressscan सहित किसी भी ओपन सोर्स, ऑफ-द-शेल्फ टूल में से किसी एक का उपयोग करता है। विशेष रूप से दो बग जिनका अर्थ क्रहांग शिकार करना पसंद करता है, वे हैं CVE-2023-32315 - वास्तविक समय सहयोग सर्वर ओपनफ़ायर में एक कमांड निष्पादन बग जिसे CVSS द्वारा 7.5 रेटिंग दी गई है - और CVE-2022-21587 - एक महत्वपूर्ण 9.8-रेटेड कमांड निष्पादन समस्या Oracle के ई-बिजनेस सूट में वेब एप्लिकेशन डेस्कटॉप इंटीग्रेटर के साथ।
सार्वजनिक सर्वर पर नियंत्रण स्थापित करने के बाद, समूह संवेदनशील फ़ाइलों, पासवर्ड (विशेष रूप से ईमेल के लिए) और अन्य उपयोगी संसाधनों, जैसे अकेले उपडोमेन को स्कैन करने के लिए अधिक खुले स्रोत सॉफ़्टवेयर का उपयोग करता है, जो आगे के अप्रयुक्त सर्वरों की ओर इशारा कर सकते हैं। यह कई क्रूर बल के हमलों को भी नियोजित करता है - उदाहरण के लिए, वेब पर आउटलुक के माध्यम से माइक्रोसॉफ्ट एक्सचेंज सर्वर को क्रैक करने के लिए सामान्य पासवर्ड की एक सूची का उपयोग करना।
ट्रेंड माइक्रो में थ्रेट इंटेलिजेंस के उपाध्यक्ष जॉन क्ले कहते हैं, "हालांकि ऐसा लग सकता है कि ओपन सोर्स का पता लगाना आसान होना चाहिए," वास्तविकता यह है कि यहां कई टीटीपी हैं जिन्हें ढूंढना और पता लगाना है। इसके अलावा, इस प्रतिद्वंद्वी द्वारा रक्षा चोरी की रणनीति का उपयोग यह सुनिश्चित करने के लिए किया जा सकता है कि पीड़ित बचाव करने में असमर्थ हैं।
अर्थ क्रहांग का शोषण और गुप्त रणनीति
इस सब के अंत तक (और भी बहुत कुछ), हमलावर दो प्राथमिक कार्य कर सकता है: समझौता किए गए सर्वर पर बैकडोर छोड़ें, और ईमेल खातों को हाईजैक करें।
उत्तरार्द्ध विशेष उपयोग का है। क्ले बताते हैं, "अपने हमले का समर्थन करने के लिए वैध प्रणालियों और ईमेल खातों का उपयोग यहां विशेष रूप से दिलचस्प है, क्योंकि यह प्रतिद्वंद्वी पीड़ित को यह सोचने के लिए वैध खातों का उपयोग करता है कि वे सुरक्षित हैं।" उच्च-मूल्य वाले संपर्कों की सूची और एक प्रामाणिक खाते का उपयोग करके प्राप्त वैधता के साथ, समूह उन विषय पंक्तियों के साथ ईमेल भेजता है जो बिल में फिट होते हैं - जैसे "मलेशियाई रक्षा मंत्रालय परिपत्र" - दुर्भावनापूर्ण यूआरएल या अनुलग्नक और फ़ाइल नाम जो ऐसा करते हैं वही - उदाहरण के लिए "पराग्वे के विदेश मंत्री की तुर्कमेनिस्तान यात्रा पर।"
चाहे ईमेल के माध्यम से हो या वेब सर्वर में भेद्यता के कारण, अर्थ क्रहांग के विभिन्न लक्ष्य एक या एकाधिक बैकडोर से डाउनलोड होते हैं।
अपने शुरुआती हमलों में, लगभग 2022 में, समूह ने एईएस-एन्क्रिप्टेड कमांड-एंड-कंट्रोल (सी2) संचार के साथ जानकारी एकत्र करने, फ़ाइलें छोड़ने और सिस्टम कमांड निष्पादित करने के लिए एक सरल कस्टम-निर्मित .NET टूल "RESHELL" का उपयोग किया था।
2023 में, समूह "XDealer" में चला गया, जिसमें कीलॉगिंग, स्क्रीनशॉटिंग और क्लिपबोर्ड से चोरी करने सहित अन्य क्षमताएं हैं। विंडोज़ और लिनक्स दोनों के साथ संगत होने के अलावा, XDealer इसलिए भी उल्लेखनीय है क्योंकि इसके कुछ लोडर में वैध कोड-हस्ताक्षर प्रमाणपत्र होते हैं। ट्रेंड माइक्रो का अनुमान है कि ये प्रमाणपत्र - एक वैध मानव संसाधन कंपनी से संबंधित है, और दूसरा गेम डेवलपमेंट कंपनी से संबंधित है - संभवतः नए सिस्टम में मैलवेयर डाउनलोड करते समय कवर की एक अतिरिक्त परत प्रदान करने के लिए चुराए गए थे।
पृथ्वी क्रहांग का भी उपयोग किया गया है प्लगएक्स जैसे प्राचीन खतरे और शैडोपैड, और यह अक्सर कोबाल्ट स्ट्राइक को एक अन्य ओपन सोर्स टूल (रेडगार्ड) के साथ संयोजन में तैनात करता है जो साइबर सुरक्षा विश्लेषकों को इसके C2 बुनियादी ढांचे को कम करने से रोकता है।
क्योंकि धमकी देने वाला अभिनेता अपेक्षाकृत सीधा-सादा निशाना साधने वाला होता है, गेंथर का सुझाव है कि “इन टीटीपी से बचाव के लिए मानक सर्वोत्तम प्रथाओं की सिफारिश की जाती है। संगठनों को स्पीयर फ़िशिंग से बचाव के लिए अपनी ईमेल सुरक्षा बढ़ानी चाहिए, ज्ञात कमजोरियों से बचाने के लिए अपने सिस्टम को नियमित रूप से अपडेट और पैच करना चाहिए, और अपने नेटवर्क के भीतर किसी हमलावर के प्रसार को सीमित करने के लिए नेटवर्क विभाजन को नियोजित करना चाहिए। असामान्य नेटवर्क ट्रैफ़िक और असामान्य पहुंच पैटर्न की निगरानी से भी ऐसे अभियानों का शीघ्र पता लगाने में मदद मिल सकती है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
