Un gruppo di spionaggio cinese precedentemente non identificato è riuscito a violare almeno 70 organizzazioni in 23 paesi, di cui 48 in ambito governativo, nonostante l’utilizzo di tattiche, tecniche e procedure piuttosto standard (TTP).
"Earth Krahang" non sembra essere un APT militare di alto livello. In un nuovo rapporto, i ricercatori di Trend Micro hanno suggerito che potrebbe essere un'ala di iSoon, un'operazione privata di hacker su commissione contratto dal Partito Comunista Cinese (PCC). E adattandosi a tale operazione di criminalità informatica, invece di impiegare malware ultra-sofisticati e tattiche stealth, utilizza un arsenale di strumenti in gran parte open source e ben documentati, oltre a vulnerabilità di un giorno e ingegneria sociale standard, per sconfiggere i suoi obiettivi.
Nonostante ciò, il suo elenco di vittime rivaleggia con quello di artisti del calibro di Tifone Volt, BlackTeche Panda Mustang.
Avendo preso di mira non meno di 116 organizzazioni in 35 paesi, il gruppo ha almeno 70 compromessi confermati, di cui quattro dozzine associati a vari governi mondiali. In un caso, è riuscita a violare un’ampia gamma di organizzazioni collegate a 11 ministeri. Le vittime hanno interessato anche i settori dell’istruzione e delle telecomunicazioni, della finanza, dell’IT, dello sport e altro ancora. La più alta concentrazione di vittime proviene dall’Asia, ma i casi riguardano anche le Americhe (Messico, Brasile, Paraguay), Europa (Gran Bretagna, Ungheria) e Africa (Egitto, Sud Africa).
“L’uso di strumenti open source per compromettere enti governativi è notevole, ma non del tutto sorprendente”, afferma Callie Guenther, senior manager della ricerca sulle minacce informatiche presso Critical Start. “I governi spesso dispongono di infrastrutture IT vaste e complesse, che possono portare a incoerenze nelle pratiche di sicurezza e rendere difficile la difesa da tutti i tipi di attacchi, compresi quelli che utilizzano strumenti open source di base”.
Le tattiche di intrusione di Earth Krahang
Alcune APT cinesi di successo si distinguono per zero-day unici or tattiche complesse che mettono a punto meglio di tutti gli altri.
Earth Krahang è più un tuttofare.
La sua prima mossa è quella di scansionare il Web alla ricerca di server di interesse pubblici, come quelli collegati a organizzazioni governative. Per verificare le vulnerabilità che può sfruttare, utilizza uno dei numerosi strumenti open source e standardizzati, tra cui sqlmap, nuclei, xray, vscan, pocsuite e wordpressscan. Due bug in particolare di cui Earth Krahang ama predare sono CVE-2023-32315 - un bug di esecuzione dei comandi nel server di collaborazione in tempo reale Openfire valutato 7.5 da CVSS - e CVE-2022-21587 - un problema critico di esecuzione dei comandi classificato 9.8 con Web Applications Desktop Integrator nella E-Business Suite di Oracle.
Dopo aver stabilito un punto d'appoggio su un server pubblico, il gruppo utilizza più software open source per cercare file sensibili, password (in particolare per la posta elettronica) e altre risorse utili, come sottodomini solitari che potrebbero puntare a ulteriori server non gestiti. Utilizza inoltre una serie di attacchi di forza bruta, ad esempio utilizzando un elenco di password comuni per violare i server Microsoft Exchange tramite Outlook sul Web.
“Anche se può sembrare che l’open source debba essere facile da rilevare”, afferma Jon Clay, vicepresidente dell’intelligence sulle minacce presso Trend Micro, “la realtà è che qui ci sono molti TTP che devono essere trovati e rilevati. Inoltre, l’uso di tattiche di evasione della difesa da parte di questo avversario può essere utilizzato per garantire che le vittime non siano in grado di difendersi”.
Sfruttamento e tattiche furtive di Earth Krahang
Alla fine di tutto questo (e molto altro ancora), l’aggressore può eseguire due azioni principali: aprire backdoor sui server compromessi e prendere il controllo degli account di posta elettronica.
Quest'ultimo è di particolare utilità. "L'uso di sistemi e account e-mail legittimi per supportare il proprio attacco è particolarmente interessante in questo caso, perché questo avversario utilizza account legittimi per ingannare la vittima facendole credere di essere al sicuro", spiega Clay. Con un elenco di contatti di alto valore e la legittimità acquisita utilizzando un account in buona fede, il gruppo invia e-mail con oggetto adatto, come "Circolare del Ministero della Difesa malese", URL o allegati dannosi e nomi di file che non lo fanno. lo stesso – ad esempio “Sulla visita del ministro degli Esteri paraguaiano in Turkmenistan.exe”.
Sia tramite e-mail che tramite una vulnerabilità in un server Web, i vari obiettivi di Earth Krahang finiscono per scaricare una o più backdoor.
Nei suoi primi attacchi, intorno al 2022, il gruppo ha utilizzato "RESHELL", uno strumento .NET personalizzato piuttosto semplice per raccogliere informazioni, eliminare file ed eseguire comandi di sistema, con comunicazione di comando e controllo (C2) crittografata AES.
Nel 2023, il gruppo è passato a “XDealer”, che ha ulteriori funzionalità tra cui keylogging, screenshot e furto dagli appunti. Oltre ad essere compatibile sia con Windows che con Linux, XDealer è degno di nota anche perché alcuni dei suoi caricatori contengono certificati di firma del codice validi. Trend Micro ipotizza che questi certificati, uno appartenente a una società legittima di risorse umane e l'altro a una società di sviluppo di giochi, siano stati probabilmente rubati per fornire un ulteriore livello di copertura durante il download del malware su nuovi sistemi.
Anche la Terra Krahang ha utilizzato antiche minacce come PlugX ed Shadow Pad, e utilizza spesso Cobalt Strike in combinazione con un altro strumento open source (RedGuard) che impedisce agli analisti della sicurezza informatica di bloccare la sua infrastruttura C2.
Poiché l’autore della minaccia è relativamente diretto, Guenther suggerisce che “si raccomandano le migliori pratiche standard per proteggersi da questi TTP. Le organizzazioni dovrebbero migliorare la sicurezza della posta elettronica per difendersi dallo spear phishing, aggiornare regolarmente e applicare patch ai propri sistemi per proteggersi dalle vulnerabilità note e utilizzare la segmentazione della rete per limitare la diffusione di un utente malintenzionato all'interno delle proprie reti. Anche il monitoraggio del traffico di rete anomalo e dei modelli di accesso insoliti può aiutare a individuare tempestivamente tali campagne”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
