Um grupo de espionagem chinês anteriormente não identificado conseguiu violar pelo menos 70 organizações em 23 países, incluindo 48 no espaço governamental, apesar de utilizar táticas, técnicas e procedimentos (TTPs) bastante padronizados.
“Earth Krahang” não parece ser um APT militar de alto nível. Em um novo relatório, pesquisadores da Trend Micro sugeriram que pode ser uma ala do iSoon, uma operação privada de hack-for-hire contratado pelo Partido Comunista Chinês (PCC). E enquadrando-se nesta operação de crime cibernético, em vez de empregar malware ultra-sofisticado e tácticas furtivas, utiliza um arsenal de ferramentas largamente abertas e bem documentadas, além de vulnerabilidades de um dia e engenharia social padrão, para derrotar os seus alvos.
Apesar disso, a sua lista de vítimas rivaliza com a de pessoas como volt tufão, Tecnologia Negra e Panda Mustang.
Tendo como alvo nada menos que 116 organizações em 35 países, o grupo tem pelo menos 70 compromissos confirmados, incluindo quatro dúzias associadas a vários governos mundiais. Num caso, conseguiu violar uma vasta gama de organizações ligadas a 11 ministérios governamentais. As vítimas também abrangeram os setores de educação e telecomunicações, finanças, TI, esportes e muito mais. A maior concentração de vítimas vem da Ásia, mas os casos abrangem também as Américas (México, Brasil, Paraguai), Europa (Grã-Bretanha, Hungria) e África (Egito, África do Sul).
“O uso de ferramentas de código aberto para comprometer entidades governamentais é notável, mas não totalmente surpreendente”, afirma Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start. “Os governos têm frequentemente infraestruturas de TI vastas e complexas, o que pode levar a inconsistências nas práticas de segurança e dificultar a defesa contra todos os tipos de ataques, incluindo aqueles que utilizam ferramentas básicas de código aberto.”
Táticas de Intrusão do Krahang da Terra
Alguns APTs chineses bem-sucedidos distinguem-se com dia zero exclusivo or táticas complexas que eles usam melhor do que todos os outros.
Earth Krahang é mais um pau para toda obra.
Seu primeiro passo é examinar a Web em busca de servidores de interesse voltados ao público, como aqueles conectados a organizações governamentais. Para verificar as vulnerabilidades que pode aproveitar, ele usa uma dentre inúmeras ferramentas de código aberto e prontas para uso, incluindo sqlmap, núcleos, xray, vscan, pocsuite e wordpressscan. Dois bugs em particular que Earth Krahang gosta de atacar são CVE-2023-32315 – um bug de execução de comando no servidor de colaboração em tempo real Openfire classificado como 7.5 pelo CVSS – e CVE-2022-21587 – um problema crítico de execução de comando com classificação 9.8 com o Web Applications Desktop Integrator no E-Business Suite da Oracle.
Depois de estabelecer uma base em um servidor público, o grupo usa mais software de código aberto para procurar arquivos confidenciais, senhas (especialmente para e-mail) e outros recursos úteis, como subdomínios solitários que podem apontar para outros servidores não mantidos. Ele também emprega vários ataques de força bruta – por exemplo, usando uma lista de senhas comuns para invadir servidores Microsoft Exchange por meio do Outlook na Web.
“Embora possa parecer que o código aberto deveria ser fácil de detectar”, diz Jon Clay, vice-presidente de inteligência de ameaças da Trend Micro, “a realidade é que existem muitos TTPs aqui que precisam ser encontrados e detectados. Além disso, o uso de táticas de evasão de defesa por parte deste adversário pode ser utilizado para garantir que as vítimas sejam incapazes de se defender.”
Exploração e táticas furtivas de Earth Krahang
Ao final de tudo isso (e muito mais), o invasor pode realizar duas ações principais: colocar backdoors em servidores comprometidos e sequestrar contas de e-mail.
Este último é de particular utilidade. “O uso de sistemas e contas de e-mail legítimos para apoiar o ataque é particularmente interessante aqui, porque esse adversário usa contas legítimas para enganar a vítima, fazendo-a pensar que está segura”, explica Clay. Com uma lista de contatos de alto valor e a legitimidade obtida ao usar uma conta genuína, o grupo envia e-mails com assuntos que se enquadram no perfil – como “Circular do Ministério da Defesa da Malásia” – URLs maliciosos ou anexos e nomes de arquivos que não o mesmo - por exemplo, “Sobre a visita do Ministro das Relações Exteriores do Paraguai ao Turkmenistan.exe.”
Seja por e-mail ou por uma vulnerabilidade em um servidor Web, os vários alvos do Earth Krahang acabam baixando um ou vários backdoors.
Em seus primeiros ataques, por volta de 2022, o grupo usou “RESHELL”, uma ferramenta .NET bastante simples e personalizada para coletar informações, descartar arquivos e executar comandos do sistema, com comunicação de comando e controle (C2) criptografada em AES.
Em 2023, o grupo mudou para “XDealer”, que tem recursos adicionais, incluindo keylogging, captura de tela e roubo da área de transferência. Além de ser compatível com Windows e Linux, o XDealer também se destaca porque alguns de seus carregadores contêm certificados de assinatura de código válidos. A Trend Micro especula que esses certificados – um pertencente a uma empresa legítima de recursos humanos e o outro a uma empresa de desenvolvimento de jogos – provavelmente foram roubados para fornecer uma camada extra de cobertura ao baixar o malware para novos sistemas.
Earth Krahang também fez uso de ameaças antigas como PlugX e bloco de sombra, e frequentemente implanta o Cobalt Strike em combinação com outra ferramenta de código aberto (RedGuard) que impede que os analistas de segurança cibernética identifiquem sua infraestrutura C2.
Como o ator da ameaça é relativamente direto, Guenther sugere que “as melhores práticas padrão são recomendadas para proteção contra esses TTPs. As organizações devem melhorar a segurança do seu e-mail para se defenderem contra spear phishing, atualizar e corrigir regularmente os seus sistemas para proteger contra vulnerabilidades conhecidas e empregar segmentação de rede para limitar a propagação de um invasor dentro das suas redes. O monitoramento de tráfego anormal de rede e padrões de acesso incomuns também pode ajudar na detecção precoce de tais campanhas.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
