മുമ്പ് തിരിച്ചറിയപ്പെടാത്ത ഒരു ചൈനീസ് ചാരസംഘത്തിന് 70 രാജ്യങ്ങളിലായി കുറഞ്ഞത് 23 ഓർഗനൈസേഷനുകളെങ്കിലും ലംഘിക്കാൻ കഴിഞ്ഞിട്ടുണ്ട്, സർക്കാർ സ്ഥലത്ത് 48 എണ്ണം ഉൾപ്പെടെ, സാധാരണ നിരക്ക് തന്ത്രങ്ങളും സാങ്കേതികതകളും നടപടിക്രമങ്ങളും (ടിടിപികൾ) ഉപയോഗിച്ചിട്ടും.

"എർത്ത് ക്രാഹാങ്" ഒരു ഉയർന്ന തലത്തിലുള്ള സൈനിക APT ആണെന്ന് തോന്നുന്നില്ല. ഇൻ ഒരു പുതിയ റിപ്പോർട്ട്, ട്രെൻഡ് മൈക്രോയിൽ നിന്നുള്ള ഗവേഷകർ ഇത് ഒരു ചിറകായിരിക്കാമെന്ന് അഭിപ്രായപ്പെട്ടു iSoon, ഒരു സ്വകാര്യ ഹാക്ക് ഫോർ ഹയർ ഓപ്പറേഷൻ ചൈനീസ് കമ്മ്യൂണിസ്റ്റ് പാർട്ടി (സിസിപി) കരാർ ചെയ്തു. അത്യാധുനിക മാൽവെയറുകളും സ്റ്റെൽത്ത് തന്ത്രങ്ങളും ഉപയോഗിക്കുന്നതിനുപകരം, അത്തരമൊരു സൈബർ ക്രൈം ഓപ്പറേഷൻ യോജിപ്പിച്ച്, അതിൻ്റെ ലക്ഷ്യങ്ങളെ പരാജയപ്പെടുത്താൻ ഇത് വലിയ തോതിൽ ഓപ്പൺ സോഴ്‌സ്, നന്നായി രേഖപ്പെടുത്തപ്പെട്ട ടൂളുകൾ, കൂടാതെ ഏകദിന കേടുപാടുകൾ, സ്റ്റാൻഡേർഡ് സോഷ്യൽ എഞ്ചിനീയറിംഗ് എന്നിവയുടെ ആയുധശേഖരം ഉപയോഗിക്കുന്നു.

ഇതൊക്കെയാണെങ്കിലും, അതിൻ്റെ ഇരകളുടെ പട്ടിക ഇഷ്‌ടപ്പെടുന്നവരുമായി മത്സരിക്കുന്നു വോൾട്ട് ടൈഫൂൺ, ബ്ലാക്ക്ടെക്, ഒപ്പം മുസ്താങ് പാണ്ട.

116 രാജ്യങ്ങളിലായി 35-ൽ കുറയാത്ത ഓർഗനൈസേഷനുകളെ ലക്ഷ്യമിട്ടുള്ള ഗ്രൂപ്പിന്, വിവിധ ലോക ഗവൺമെൻ്റുകളുമായി ബന്ധപ്പെട്ട നാല് ഡസൻ ഉൾപ്പെടെ 70 സ്ഥിരീകരിച്ച വിട്ടുവീഴ്ചകളെങ്കിലും ഉണ്ട്. ഒരു സാഹചര്യത്തിൽ, 11 സർക്കാർ മന്ത്രാലയങ്ങളുമായി ബന്ധമുള്ള സംഘടനകളുടെ വിപുലമായ ശ്രേണി ലംഘിക്കാൻ ഇതിന് കഴിഞ്ഞു. വിദ്യാഭ്യാസം, ടെലികമ്മ്യൂണിക്കേഷൻ മേഖലകൾ, ധനകാര്യം, ഐടി, സ്പോർട്സ് തുടങ്ങിയ മേഖലകളിലും ഇരകൾ വ്യാപിച്ചിട്ടുണ്ട്. ഇരകളുടെ ഏറ്റവും ഉയർന്ന സാന്ദ്രത ഏഷ്യയിൽ നിന്നാണ്, എന്നാൽ കേസുകൾ അമേരിക്ക (മെക്സിക്കോ, ബ്രസീൽ, പരാഗ്വേ), യൂറോപ്പ് (ബ്രിട്ടൻ, ഹംഗറി), ആഫ്രിക്ക (ഈജിപ്ത്, ദക്ഷിണാഫ്രിക്ക) എന്നിവിടങ്ങളിൽ ഉൾപ്പെടുന്നു.

"സർക്കാർ സ്ഥാപനങ്ങളെ വിട്ടുവീഴ്ച ചെയ്യുന്നതിനായി ഓപ്പൺ സോഴ്‌സ് ടൂളുകളുടെ ഉപയോഗം ശ്രദ്ധേയമാണ്, പക്ഷേ പൂർണ്ണമായും ആശ്ചര്യകരമല്ല," ക്രിട്ടിക്കൽ സ്റ്റാർട്ടിലെ സൈബർ ഭീഷണി ഗവേഷണത്തിൻ്റെ സീനിയർ മാനേജർ കാലി ഗുന്തർ പറയുന്നു. "ഗവൺമെൻ്റുകൾക്ക് പലപ്പോഴും വിശാലവും സങ്കീർണ്ണവുമായ ഐടി ഇൻഫ്രാസ്ട്രക്ചറുകൾ ഉണ്ട്, അത് സുരക്ഷാ സമ്പ്രദായങ്ങളിലെ പൊരുത്തക്കേടുകളിലേക്ക് നയിക്കുകയും അടിസ്ഥാന ഓപ്പൺ സോഴ്‌സ് ടൂളുകൾ ഉപയോഗിക്കുന്നതുൾപ്പെടെ എല്ലാത്തരം ആക്രമണങ്ങളിൽ നിന്നും പ്രതിരോധിക്കുന്നത് ബുദ്ധിമുട്ടാക്കുകയും ചെയ്യും."

എർത്ത് ക്രാഹാങ്ങിൻ്റെ നുഴഞ്ഞുകയറ്റ തന്ത്രങ്ങൾ

ചില വിജയകരമായ ചൈനീസ് APT-കൾ സ്വയം വേർതിരിച്ചറിയുന്നു അതുല്യ പൂജ്യം ദിവസങ്ങൾ or സങ്കീർണ്ണമായ തന്ത്രങ്ങൾ അവർ പുറത്തെടുക്കുന്നു എല്ലാവരേക്കാളും നല്ലത്.

എർത്ത് ക്രാഹാംഗ് ഒരു ജാക്ക് ഓഫ് ഓൾ ട്രേഡാണ്.

ഗവൺമെൻ്റ് ഓർഗനൈസേഷനുകളുമായി ബന്ധിപ്പിച്ചിരിക്കുന്നതുപോലുള്ള പൊതു താൽപ്പര്യമുള്ള സെർവറുകൾക്കായി വെബ് സ്കാൻ ചെയ്യുക എന്നതാണ് ഇതിൻ്റെ ആദ്യ നീക്കം. ഇത് സ്വാധീനിക്കാൻ കഴിയുന്ന കേടുപാടുകൾ പരിശോധിക്കാൻ, sqlmap, ന്യൂക്ലിയസ്, xray, vscan, pocsuite, wordpressscan എന്നിവയുൾപ്പെടെ ഏത് ഓപ്പൺ സോഴ്‌സ്, ഓഫ്-ദി-ഷെൽഫ് ടൂളുകളിൽ ഒന്ന് ഇത് ഉപയോഗിക്കുന്നു. പ്രത്യേകിച്ച് എർത്ത് ക്രാഹാംഗ് ഇരപിടിക്കാൻ ഇഷ്ടപ്പെടുന്ന രണ്ട് ബഗുകളാണ് CVE-2023-32315 - CVSS 7.5 റേറ്റുചെയ്ത തത്സമയ സഹകരണ സെർവറിലെ ഓപ്പൺഫയറിലെ ഒരു കമാൻഡ് എക്‌സിക്യൂഷൻ ബഗ് - കൂടാതെ CVE-2022-21587 - ഒരു നിർണായകമായ 9.8-റേറ്റഡ് കമാൻഡ് എക്‌സിക്യൂഷൻ ഒറാക്കിളിൻ്റെ ഇ-ബിസിനസ് സ്യൂട്ടിലെ വെബ് ആപ്ലിക്കേഷൻസ് ഡെസ്ക്ടോപ്പ് ഇൻ്റഗ്രേറ്ററിനൊപ്പം.

ഇത് ഒരു പൊതു സെർവറിൽ ഒരു ടോഹോൾഡ് സ്ഥാപിച്ച ശേഷം, സെൻസിറ്റീവ് ഫയലുകൾ, പാസ്‌വേഡുകൾ (പ്രത്യേകിച്ച് ഇമെയിലിന്), കൂടാതെ കൂടുതൽ അറ്റകുറ്റപ്പണികൾ നടത്താത്ത സെർവറുകളിലേക്ക് വിരൽ ചൂണ്ടുന്ന ലോൺലി സബ്‌ഡൊമെയ്‌നുകൾ പോലെയുള്ള മറ്റ് ഉപയോഗപ്രദമായ ഉറവിടങ്ങൾ എന്നിവയ്ക്കായി സ്കാൻ ചെയ്യാൻ ഗ്രൂപ്പ് കൂടുതൽ ഓപ്പൺ സോഴ്‌സ് സോഫ്റ്റ്‌വെയർ ഉപയോഗിക്കുന്നു. ഇത് നിരവധി ബ്രൂട്ട് ഫോഴ്‌സ് ആക്രമണങ്ങളും ഉപയോഗിക്കുന്നു - ഉദാഹരണത്തിന്, വെബിലെ Outlook വഴി Microsoft Exchange സെർവറുകൾ തകർക്കാൻ പൊതുവായ പാസ്‌വേഡുകളുടെ ഒരു ലിസ്റ്റ് ഉപയോഗിക്കുന്നു.

“ഓപ്പൺ സോഴ്‌സ് കണ്ടെത്തുന്നത് എളുപ്പമാണെന്ന് തോന്നുമെങ്കിലും, ട്രെൻഡ് മൈക്രോയിലെ ഭീഷണി ഇൻ്റലിജൻസ് വൈസ് പ്രസിഡൻ്റ് ജോൺ ക്ലേ പറയുന്നു, “ഇവിടെ ധാരാളം ടിടിപികൾ ഉണ്ട്, അവ കണ്ടെത്തുകയും കണ്ടെത്തുകയും വേണം. കൂടാതെ, ഇരകൾക്ക് പ്രതിരോധിക്കാൻ കഴിയുന്നില്ലെന്ന് ഉറപ്പാക്കാൻ ഈ എതിരാളിയുടെ പ്രതിരോധ ഒഴിപ്പിക്കൽ തന്ത്രങ്ങൾ ഉപയോഗപ്പെടുത്താം.

എർത്ത് ക്രാഹാങ്ങിൻ്റെ ചൂഷണവും സ്റ്റെൽത്ത് തന്ത്രങ്ങളും

ഇതിൻ്റെയെല്ലാം അവസാനത്തോടെ (കൂടുതൽ കൂടുതൽ), ആക്രമണകാരിക്ക് രണ്ട് പ്രാഥമിക പ്രവർത്തനങ്ങൾ ചെയ്യാൻ കഴിയും: വിട്ടുവീഴ്ച ചെയ്ത സെർവറുകളിൽ ബാക്ക്ഡോറുകൾ ഡ്രോപ്പ് ചെയ്യുക, ഇമെയിൽ അക്കൗണ്ടുകൾ ഹൈജാക്ക് ചെയ്യുക.

രണ്ടാമത്തേത് പ്രത്യേക ഉപയോഗപ്രദമാണ്. "അവരുടെ ആക്രമണത്തെ പിന്തുണയ്ക്കാൻ നിയമാനുസൃതമായ സംവിധാനങ്ങളും ഇമെയിൽ അക്കൗണ്ടുകളും ഉപയോഗിക്കുന്നത് ഇവിടെ വളരെ രസകരമാണ്, കാരണം ഈ എതിരാളി അവർ സുരക്ഷിതരാണെന്ന് കരുതി ഇരയെ കബളിപ്പിക്കാൻ നിയമാനുസൃതമായ അക്കൗണ്ടുകൾ ഉപയോഗിക്കുന്നു," ക്ലേ വിശദീകരിക്കുന്നു. ഉയർന്ന മൂല്യമുള്ള കോൺടാക്‌റ്റുകളുടെ ലിസ്‌റ്റും വിശ്വസനീയമായ അക്കൗണ്ട് ഉപയോഗിച്ച് നേടിയ നിയമസാധുതയും ഉപയോഗിച്ച്, "മലേഷ്യൻ പ്രതിരോധ മന്ത്രാലയം സർക്കുലർ" പോലെ - ക്ഷുദ്രമായ URL-കളോ അറ്റാച്ച്‌മെൻ്റുകളോ ഫയൽ പേരുകളോ പോലുള്ള ബില്ലിന് അനുയോജ്യമായ വിഷയ ലൈനുകളുള്ള ഇമെയിലുകൾ ഗ്രൂപ്പ് അയയ്ക്കുന്നു. അതേ — ഉദാ: “പരാഗ്വേയൻ വിദേശകാര്യ മന്ത്രിയുടെ Turkmenistan.exe സന്ദർശനത്തിൽ.”

ഇമെയിൽ വഴിയോ വെബ് സെർവറിലെ കേടുപാടുകൾ മൂലമോ ആകട്ടെ, എർത്ത് ക്രാഹാങ്ങിൻ്റെ വിവിധ ലക്ഷ്യങ്ങൾ ഒന്നോ അതിലധികമോ ബാക്ക്‌ഡോറുകൾ ഡൗൺലോഡ് ചെയ്യുന്നത് അവസാനിക്കുന്നു.

അതിൻ്റെ ആദ്യകാല ആക്രമണങ്ങളിൽ, ഏകദേശം 2022 ൽ, ഗ്രൂപ്പ് AES-എൻക്രിപ്റ്റഡ് കമാൻഡ്-ആൻഡ്-കൺട്രോൾ (C2) ആശയവിനിമയം ഉപയോഗിച്ച് വിവരങ്ങൾ ശേഖരിക്കുന്നതിനും ഫയലുകൾ ഇടുന്നതിനും സിസ്റ്റം കമാൻഡുകൾ നടപ്പിലാക്കുന്നതിനുമുള്ള ലളിതമായ ഇഷ്‌ടാനുസൃത നിർമ്മിത .NET ടൂളായ "RESHELL" ഉപയോഗിച്ചു.

2023-ൽ, കീലോഗിംഗ്, സ്ക്രീൻഷോട്ടിംഗ്, ക്ലിപ്പ്ബോർഡിൽ നിന്ന് മോഷ്ടിക്കൽ എന്നിവ ഉൾപ്പെടെയുള്ള കൂടുതൽ കഴിവുകളുള്ള "XDealer" ലേക്ക് ഗ്രൂപ്പ് മാറി. Windows, Linux എന്നിവയുമായി പൊരുത്തപ്പെടുന്നതിന് പുറമെ, XDealer ശ്രദ്ധേയമാണ്, കാരണം അതിൻ്റെ ചില ലോഡറുകളിൽ സാധുവായ കോഡ്-സൈനിംഗ് സർട്ടിഫിക്കറ്റുകൾ അടങ്ങിയിരിക്കുന്നു. പുതിയ സിസ്റ്റങ്ങളിലേക്ക് ക്ഷുദ്രവെയർ ഡൗൺലോഡ് ചെയ്യുമ്പോൾ ഈ സർട്ടിഫിക്കറ്റുകൾ - ഒന്ന് നിയമാനുസൃതമായ ഹ്യൂമൻ റിസോഴ്‌സ് കമ്പനിയുടേതും മറ്റൊന്ന് ഗെയിം ഡെവലപ്‌മെൻ്റ് കമ്പനിയുടേതും - മോഷ്ടിക്കപ്പെട്ടതാകാമെന്ന് ട്രെൻഡ് മൈക്രോ അനുമാനിക്കുന്നു.

എർത്ത് ക്രാഹാംഗും ഉപയോഗിച്ചിട്ടുണ്ട് PlugX പോലുള്ള പുരാതന ഭീഷണികൾ ഒപ്പം ഷാഡോപാഡ്, കൂടാതെ ഇത് C2 ഇൻഫ്രാസ്ട്രക്ചർ പിൻ ചെയ്യുന്നതിൽ നിന്ന് സൈബർ സുരക്ഷാ അനലിസ്റ്റുകളെ തടയുന്ന മറ്റൊരു ഓപ്പൺ സോഴ്സ് ടൂളുമായി (റെഡ്ഗാർഡ്) കോബാൾട്ട് സ്ട്രൈക്കിനെ ഇടയ്ക്കിടെ വിന്യസിക്കുന്നു.

ഭീഷണിപ്പെടുത്തുന്ന നടൻ താരതമ്യേന നേരായ ഷൂട്ടിംഗ് ഉള്ളതിനാൽ, "ഈ ടിടിപികളിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് സ്റ്റാൻഡേർഡ് മികച്ച സമ്പ്രദായങ്ങൾ ശുപാർശ ചെയ്യുന്നു" എന്ന് ഗുന്തർ നിർദ്ദേശിക്കുന്നു. സ്പിയർ ഫിഷിംഗിനെതിരെ പ്രതിരോധിക്കുന്നതിന് ഓർഗനൈസേഷനുകൾ അവരുടെ ഇമെയിൽ സുരക്ഷ വർദ്ധിപ്പിക്കണം, അറിയപ്പെടുന്ന കേടുപാടുകളിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് അവരുടെ സിസ്റ്റങ്ങൾ പതിവായി അപ്‌ഡേറ്റ് ചെയ്യുകയും പാച്ച് ചെയ്യുകയും വേണം, കൂടാതെ അവരുടെ നെറ്റ്‌വർക്കുകളിൽ ആക്രമണകാരിയുടെ വ്യാപനം പരിമിതപ്പെടുത്തുന്നതിന് നെറ്റ്‌വർക്ക് സെഗ്‌മെൻ്റേഷൻ ഉപയോഗിക്കുകയും വേണം. അസാധാരണമായ നെറ്റ്‌വർക്ക് ട്രാഫിക്കും അസാധാരണമായ ആക്‌സസ് പാറ്റേണുകളും നിരീക്ഷിക്കുന്നത് അത്തരം കാമ്പെയ്‌നുകൾ നേരത്തേ കണ്ടെത്തുന്നതിന് സഹായിക്കും.

• SEO പവർ ചെയ്ത ഉള്ളടക്കവും PR വിതരണവും. ഇന്ന് ആംപ്ലിഫൈഡ് നേടുക.
• PlatoData.Network ലംബ ജനറേറ്റീവ് Ai. സ്വയം ശാക്തീകരിക്കുക. ഇവിടെ പ്രവേശിക്കുക.
• PlatoAiStream. Web3 ഇന്റലിജൻസ്. വിജ്ഞാനം വർധിപ്പിച്ചു. ഇവിടെ പ്രവേശിക്കുക.
• പ്ലേറ്റോഇഎസ്ജി. കാർബൺ, ക്ലീൻ ടെക്, ഊർജ്ജം, പരിസ്ഥിതി, സോളാർ, മാലിന്യ സംസ്കരണം. ഇവിടെ പ്രവേശിക്കുക.
• പ്ലേറ്റോ ഹെൽത്ത്. ബയോടെക് ആൻഡ് ക്ലിനിക്കൽ ട്രയൽസ് ഇന്റലിജൻസ്. ഇവിടെ പ്രവേശിക്കുക.
• അവലംബം: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents