ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

中国のAPT「Earth Krahang」が48大陸の5の政府組織を侵害

プラトン再発行
プラトン再発行

日付:

閲覧数: 138

これまで正体不明だった中国のスパイ集団が、かなり標準的な戦術、技術、手順(TTP)を使用したにもかかわらず、70か国の少なくとも23の組織(政府分野の48組織を含む)への侵入に成功した。

「アース・クラハン」は高レベルの軍事APTではないようです。で 新しいレポート、トレンドマイクロの研究者は、それが次の翼である可能性を示唆しました。 iSoon、プライベートハッキングのレンタル活動 中国共産党(CCP)と契約したもの。そして、このようなサイバー犯罪活動に適合するために、非常に高度なマルウェアやステルス戦術を採用するのではなく、主にオープンソースで十分に文書化されたツールの武器庫に加え、ワンデイ脆弱性や標準的なソーシャル エンジニアリングを利用してターゲットを打ち破ります。

それにもかかわらず、その犠牲者のリストは、次のようなものに匹敵します。 ボルト・タイフーン, ブラックテック, マスタングパンダ.

このグループは 116 か国の 35 以上の組織をターゲットにしており、少なくとも 70 件の侵害が確認されており、その中にはさまざまな世界政府に関連する 11 件が含まれています。あるケースでは、XNUMX の政府省庁に関連する幅広い組織への侵入に成功しました。被害者は教育、通信、金融、IT、スポーツなどの分野にも及んでいる。被害者が最も集中しているのはアジアだが、感染者数はアメリカ大陸(メキシコ、ブラジル、パラグアイ)、ヨーロッパ(英国、ハンガリー)、アフリカ(エジプト、南アフリカ)にも及んでいる。

「政府機関を侵害するためにオープンソース ツールが使用されているのは注目に値しますが、まったく驚くべきことではありません」と、クリティカル スタート社のサイバー脅威研究担当シニア マネージャー、キャリー ギュンサー氏は述べています。 「政府は多くの場合、大規模で複雑な IT インフラストラクチャを所有しているため、セキュリティ慣行に不一致が生じ、基本的なオープンソース ツールを使用した攻撃を含むあらゆる種類の攻撃に対する防御が困難になる可能性があります。」

アースクラハンの侵入戦術

一部の成功した中国 APT は、次の点で差別化されています。 ユニークなゼロデイ or 彼らが実行する複雑な戦術 他の誰よりも優れています。

Earth Krahang はどちらかというと何でも屋です。

その最初の動きは、Web をスキャンして、政府機関に接続されているサーバーなど、関心のある公開サーバーを探すことです。悪用される可能性のある脆弱性をチェックするために、sqlmap、nuclei、xray、vscan、pocsuite、wordpressscan などのオープンソースの既製ツールのいずれかを使用します。 Earth Krahang が特に好んで食い物にする 2023 つのバグは、CVE-32315-7.5 (CVSS で 2022 と評価されたリアルタイム コラボレーション サーバー Openfire のコマンド実行のバグ) と CVE-21587-9.8 (XNUMX と評価されたコマンド実行の重大な問題) です。 Oracle の E-Business Suite の Web Applications Desktop Integrator を使用します。

パブリックサーバーに足がかりを確立した後、このグループはさらに多くのオープンソースソフトウェアを使用して、機密ファイル、パスワード(特に電子メール)、およびメンテナンスされていないサーバーを指す可能性のある孤立したサブドメインなどのその他の有用なリソースをスキャンします。また、一般的なパスワードのリストを使用して、Outlook on the Web 経由で Microsoft Exchange サーバーをクラッキングするなど、多くのブルート フォース攻撃も使用します。

トレンドマイクロの脅威インテリジェンス担当バイスプレジデントであるジョン・クレイは、「オープンソースは検出しやすいように思われるかもしれませんが、実際には、見つけて検出する必要がある TTP が数多く存在します。また、この敵による防御回避戦術の使用は、被害者が防御できないようにするために利用される可能性があります。」

Earth Krahang の搾取とステルス戦術

これらすべて (そしてさらに多くのこと) が終わるまでに、攻撃者は 2 つの主要なアクションを実行できるようになります。それは、侵害されたサーバーにバックドアを設置し、電子メール アカウントをハイジャックすることです。

後者は特に役立ちます。 「攻撃を支援するために正規のシステムと電子メール アカウントを使用する点が特に興味深いです。なぜなら、この攻撃者は正規のアカウントを使用して、被害者に自分が安全であると思い込ませるからです」とクレイ氏は説明します。価値の高い連絡先のリストと、本物のアカウントを使用することで得た正当性を利用して、このグループは、「マレーシア国防省回覧」などの請求書に適合する件名、悪意のある URL や添付ファイル、ファイル名を含む電子メールを送信します。同じ — 例: 「パラグアイ外務大臣のトルクメニスタン訪問について.exe」。

電子メール経由であれ、Web サーバーの脆弱性経由であれ、Earth Krahang のさまざまなターゲットは、最終的に 1 つまたは複数のバックドアをダウンロードします。

2022 年頃の最初の攻撃では、このグループは、AES 暗号化されたコマンド アンド コントロール (C2) 通信を使用して、情報の収集、ファイルのドロップ、システム コマンドの実行を行う、かなりシンプルなカスタム .NET ツールである「RESHELL」を使用しました。

2023 年に、このグループはキーロギング、スクリーンショット、クリップボードからの盗用などのさらなる機能を備えた「XDealer」に移行しました。 XDealer は、Windows と Linux の両方と互換性があることに加えて、ローダーの一部に有効なコード署名証明書が含まれていることでも注目に値します。トレンドマイクロは、これらの証明書 (XNUMX つは正規の人材会社のもの、もう XNUMX つはゲーム開発会社のもの) が、新しいシステムにマルウェアをダウンロードする際の追加の保護層を提供するために盗まれた可能性が高いと推測しています。

アースクラハンも活用しています PlugX のような古代の脅威 & シャドーパッドまた、サイバーセキュリティ アナリストによる C2 インフラストラクチャの特定を防ぐために、Cobalt Strike を別のオープンソース ツール (RedGuard) と組み合わせて頻繁に導入しています。

脅威アクターは比較的直撃的であるため、Guenther 氏は次のように示唆しています。「これらの TTP から保護するには、標準的なベスト プラクティスが推奨されます。組織は、スピア フィッシングを防ぐために電子メール セキュリティを強化し、既知の脆弱性から保護するためにシステムを定期的に更新してパッチを適用し、ネットワーク内での攻撃者の拡散を制限するためにネットワーク セグメンテーションを採用する必要があります。異常なネットワーク トラフィックや異常なアクセス パターンを監視することも、このようなキャンペーンの早期発見に役立ちます。」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.