Een voorheen onbekende Chinese spionagegroep is erin geslaagd minstens 70 organisaties in 23 landen binnen te dringen, waaronder 48 in de overheidssector, ondanks het gebruik van redelijk standaard tactieken, technieken en procedures (TTP’s).

“Earth Krahang” lijkt geen militaire APT van hoog niveau te zijn. In een nieuw rapportOnderzoekers van Trend Micro suggereerden dat het misschien wel één vleugel hiervan zou kunnen zijn iSoon, een particuliere hack-for-hire-operatie onder contract van de Chinese Communistische Partij (CCP). En passend bij zo'n cybercriminaliteitsoperatie gebruikt het, in plaats van gebruik te maken van ultra-geavanceerde malware en stealth-tactieken, een arsenaal aan grotendeels open source en goed gedocumenteerde tools, plus eenmalige kwetsbaarheden en standaard social engineering, om zijn doelen te verslaan.

Desondanks concurreert de lijst met slachtoffers met die van onder meer Volt tyfoon, BlackTech en Mustang-panda.

De groep heeft niet minder dan 116 organisaties in 35 landen aangevallen en beschikt over minstens 70 bevestigde compromissen, waaronder vier dozijn geassocieerd met verschillende wereldregeringen. In één geval slaagde het erin een breed scala aan organisaties die verbonden waren met elf ministeries te overtreden. Slachtoffers bevinden zich ook in de onderwijs- en telecommunicatiesector, de financiële sector, de IT-sector, de sportsector en meer. De hoogste concentratie slachtoffers komt uit Azië, maar de gevallen bestrijken ook Amerika (Mexico, Brazilië, Paraguay), Europa (Groot-Brittannië, Hongarije) en Afrika (Egypte, Zuid-Afrika).

“Het gebruik van open source-tools om overheidsinstanties in gevaar te brengen is opmerkelijk, maar niet geheel verrassend”, zegt Callie Guenther, senior manager cyberdreigingsonderzoek bij Critical Start. “Overheden beschikken vaak over enorme en complexe IT-infrastructuren, wat kan leiden tot inconsistenties in de beveiligingspraktijken en het moeilijk kan maken om zich te verdedigen tegen alle soorten aanvallen, inclusief aanvallen die gebruik maken van eenvoudige open source-tools.”

De inbraaktactieken van Earth Krahang

Sommige succesvolle Chinese APT’s onderscheiden zich hiermee unieke nuldagen or complexe tactieken die ze toepassen beter dan alle anderen.

Earth Krahang is meer een alleskunner.

De eerste stap is het scannen van het internet op interessante publieke servers, zoals servers die verbonden zijn met overheidsorganisaties. Om te controleren op kwetsbaarheden waarvan het gebruik kan maken, gebruikt het een van de vele open source, kant-en-klare tools, waaronder sqlmap, nuclei, xray, vscan, pocsuite en wordpressscan. Twee bugs in het bijzonder waar Earth Krahang graag op jaagt zijn CVE-2023-32315 – een bug bij het uitvoeren van opdrachten in de real-time samenwerkingsserver Openfire, beoordeeld met een 7.5 door CVSS – en CVE-2022-21587 – een kritiek probleem met de uitvoering van opdrachten met een score van 9.8. met de Web Applications Desktop Integrator in de E-Business Suite van Oracle.

Nadat het een vaste voet op een openbare server heeft gevestigd, gebruikt de groep meer open source-software om te scannen op gevoelige bestanden, wachtwoorden (vooral voor e-mail) en andere nuttige bronnen, zoals eenzame subdomeinen die kunnen verwijzen naar nog meer niet-onderhouden servers. Het maakt ook gebruik van een aantal brute force-aanvallen, bijvoorbeeld door een lijst met veelgebruikte wachtwoorden te gebruiken om Microsoft Exchange-servers te kraken via Outlook op het web.

“Hoewel het lijkt alsof open source gemakkelijk te detecteren zou moeten zijn”, zegt Jon Clay, vice-president Threat Intelligence bij Trend Micro, “is de realiteit dat er hier veel TTP’s zijn die gevonden en gedetecteerd moeten worden. Ook kan het gebruik van verdedigingsontduikingstactieken door deze tegenstander worden gebruikt om ervoor te zorgen dat de slachtoffers zich niet kunnen verdedigen.’

De uitbuitings- en stealth-tactieken van Earth Krahang

Tegen het einde van dit alles (en nog veel meer) kan de aanvaller twee primaire acties uitvoeren: backdoors op gecompromitteerde servers plaatsen en e-mailaccounts kapen.

Vooral dit laatste is van nut. “Het gebruik van legitieme systemen en e-mailaccounts om hun aanval te ondersteunen is hier bijzonder interessant, omdat deze tegenstander legitieme accounts gebruikt om een ​​slachtoffer te laten denken dat ze veilig zijn”, legt Clay uit. Met een lijst met waardevolle contacten en de legitimiteit die wordt verkregen door het gebruik van een bonafide account, verstuurt de groep e-mails met onderwerpregels die bij het plaatje passen – zoals ‘Malaysian Ministry of Defense Circular’ – kwaadaardige URL’s of bijlagen en bestandsnamen die dat wel doen hetzelfde – bijvoorbeeld “Over het bezoek van de Paraguayaanse minister van Buitenlandse Zaken aan Turkmenistan.exe.”

Of het nu via e-mail is of via een kwetsbaarheid in een webserver, de verschillende doelwitten van Earth Krahang downloaden uiteindelijk een of meerdere achterdeurtjes.

Bij de eerste aanvallen, rond 2022, gebruikte de groep ‘RESHELL’, een vrij eenvoudige, op maat gemaakte .NET-tool voor het verzamelen van informatie, het verwijderen van bestanden en het uitvoeren van systeemopdrachten, met AES-gecodeerde command-and-control (C2)-communicatie.

In 2023 stapte de groep over naar ‘XDealer’, dat nog meer mogelijkheden biedt, waaronder keylogging, screenshots en stelen van het klembord. Naast dat het compatibel is met zowel Windows als Linux, valt XDealer ook op omdat sommige van zijn laders geldige code-signing-certificaten bevatten. Trend Micro speculeert dat deze certificaten – het ene eigendom van een legitiem HR-bedrijf en het andere van een game-ontwikkelingsbedrijf – waarschijnlijk zijn gestolen om een ​​extra dekkingslaag te bieden bij het downloaden van de malware naar nieuwe systemen.

Earth Krahang heeft er ook gebruik van gemaakt oude bedreigingen zoals PlugX en SchaduwPad, en het gebruikt Cobalt Strike regelmatig in combinatie met een andere open source tool (RedGuard) die voorkomt dat cybersecurity-analisten de C2-infrastructuur kunnen vastzetten.

Omdat de dreigingsactor relatief rechtlijnig is, suggereert Guenther dat “standaard best practices worden aanbevolen om bescherming te bieden tegen deze TTP’s. Organisaties moeten hun e-mailbeveiliging verbeteren ter verdediging tegen spearphishing, hun systemen regelmatig updaten en patchen om bescherming te bieden tegen bekende kwetsbaarheden, en netwerksegmentatie toepassen om de verspreiding van een aanvaller binnen hun netwerken te beperken. Het monitoren van abnormaal netwerkverkeer en ongebruikelijke toegangspatronen kan ook helpen bij het vroegtijdig opsporen van dergelijke campagnes.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents