En tidligere uidentifisert kinesisk spionasjegruppe har klart å krenke minst 70 organisasjoner i 23 land, inkludert 48 i regjeringsområdet, til tross for at de brukte taktikker, teknikker og prosedyrer (TTP-er) med ganske standardpris.
"Earth Krahang" ser ikke ut til å være en militær APT på høyt nivå. I en ny rapport, antydet forskere fra Trend Micro at det kan være en fløy av iSoon, en privat hack-for-hire-operasjon kontrakt med det kinesiske kommunistpartiet (KKP). Og tilpasset en slik cyberkriminalitetsoperasjon, i stedet for å bruke ultrasofistikert malware og stealth-taktikker, bruker den et arsenal av stort sett åpen kildekode og veldokumenterte verktøy, pluss endagssårbarheter og standard sosial ingeniørkunst, for å beseire målene sine.
Til tross for dette, konkurrerer listen over ofre med slike som Volt tyfon, BlackTechog Mustang Panda.
Etter å ha rettet seg mot ikke mindre enn 116 organisasjoner i 35 land, har gruppen minst 70 bekreftede kompromisser, inkludert fire dusin assosiert med forskjellige verdensregjeringer. I ett tilfelle klarte det å bryte et bredt spekter av organisasjoner knyttet til 11 regjeringsdepartementer. Ofrene har også spennet over utdannings- og telekommunikasjonssektorene, finans, IT, sport og mer. Den høyeste konsentrasjonen av ofre kommer fra Asia, men saker dekker også Amerika (Mexico, Brasil, Paraguay), Europa (Storbritannia, Ungarn) og Afrika (Egypt, Sør-Afrika).
"Bruken av åpen kildekode-verktøy for å kompromittere offentlige enheter er bemerkelsesverdig, men ikke helt overraskende," sier Callie Guenther, seniorleder for cybertrusselforskning ved Critical Start. "Regjeringer har ofte enorme og komplekse IT-infrastrukturer, som kan føre til inkonsekvenser i sikkerhetspraksis og gjøre det vanskelig å forsvare seg mot alle typer angrep, inkludert de som bruker grunnleggende åpen kildekode-verktøy."
Earth Krahangs inntrengningstaktikk
Noen vellykkede kinesiske APTer utmerker seg med unike null-dager or komplekse taktikker de bruker bedre enn alle andre.
Earth Krahang er mer en jack-of-all-trade.
Det første grepet er å skanne nettet etter offentlige servere av interesse, for eksempel de som er koblet til offentlige organisasjoner. For å se etter sårbarheter den kan utnytte, bruker den et av et hvilket som helst antall åpen kildekode, hyllevareverktøy, inkludert sqlmap, nuclei, xray, vscan, pocsuite og wordpressscan. Spesielt to feil som Earth Krahang liker å bytte på er CVE-2023-32315 - en kommandoutførelsesfeil i sanntidssamarbeidsserveren Openfire vurdert til 7.5 av CVSS - og CVE-2022-21587 - et kritisk 9.8-rangert kommandoutførelsesproblem med Web Applications Desktop Integrator i Oracles E-Business Suite.
Etter at gruppen har etablert et grep på en offentlig server, bruker gruppen mer åpen kildekode-programvare for å skanne etter sensitive filer, passord (spesielt for e-post) og andre nyttige ressurser, som ensomme underdomener som kan peke på flere servere som ikke vedlikeholdes. Den bruker også en rekke brute force-angrep - for eksempel ved å bruke en liste over vanlige passord for å knekke Microsoft Exchange-servere via Outlook på nettet.
"Selv om det kan virke som åpen kildekode burde være lett å oppdage," sier Jon Clay, visepresident for trusseletterretning i Trend Micro, "er realiteten at det er mange TTP-er her som må finnes og oppdages. Dessuten kan bruken av forsvarsunndragelsestaktikker av denne motstanderen brukes til å sikre at ofrene ikke er i stand til å forsvare seg.»
Earth Krahangs utnyttelses- og stealth-taktikk
Mot slutten av alt dette (og mye mer), kan angriperen utføre to primære handlinger: slippe bakdører på kompromitterte servere, og kapre e-postkontoer.
Sistnevnte er spesielt nyttig. "Bruken av de legitime systemene og e-postkontoene for å støtte angrepet deres er spesielt interessant her, fordi denne motstanderen bruker legitime kontoer for å lure et offer til å tro at de er trygge," forklarer Clay. Med en liste over kontakter av høy verdi og legitimiteten oppnådd ved å bruke en bona fide-konto, sender gruppen ut e-poster med emnelinjer som passer regningen – som «Malaysian Ministry of Defense Circular» – ondsinnede URL-er eller vedlegg og filnavn som gjør det det samme - f.eks. "På besøket av den paraguayanske utenriksministeren til Turkmenistan.exe."
Enten via e-post eller en sårbarhet i en webserver, ender Earth Krahangs ulike mål opp med å laste ned en eller flere bakdører.
I sine tidligste angrep, rundt 2022, brukte gruppen «RESHELL», et ganske enkelt skreddersydd .NET-verktøy for å samle informasjon, slippe filer og utføre systemkommandoer, med AES-kryptert kommando-og-kontroll (C2) kommunikasjon.
I 2023 flyttet gruppen til "XDealer", som har ytterligere muligheter, inkludert tastelogging, skjermdumping og tyveri fra utklippstavlen. I tillegg til å være kompatibel med både Windows og Linux, er XDealer også kjent fordi noen av lasterne inneholder gyldige kodesigneringssertifikater. Trend Micro spekulerer i at disse sertifikatene - det ene tilhører et legitimt menneskelig selskap, og det andre til et spillutviklingsselskap - sannsynligvis ble stjålet for å gi et ekstra dekningslag når skadevare ble lastet ned til nye systemer.
Earth Krahang har også benyttet seg av eldgamle trusler som PlugX og ShadowPad, og den distribuerer ofte Cobalt Strike i kombinasjon med et annet åpen kildekodeverktøy (RedGuard) som hindrer cybersikkerhetsanalytikere fra å feste C2-infrastrukturen.
Fordi trusselaktøren er relativt rettskyende, foreslår Guenther at "standard beste praksis anbefales for å beskytte mot disse TTPene. Organisasjoner bør forbedre e-postsikkerheten for å forsvare seg mot phishing, regelmessig oppdatere og lappe systemene sine for å beskytte mot kjente sårbarheter, og bruke nettverkssegmentering for å begrense spredningen av en angriper i nettverkene deres. Overvåking av unormal nettverkstrafikk og uvanlige tilgangsmønstre kan også hjelpe til med tidlig oppdagelse av slike kampanjer.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
