Un grup de spionaj chinez neidentificat anterior a reușit să violeze cel puțin 70 de organizații din 23 de țări, inclusiv 48 în spațiul guvernamental, în ciuda faptului că a folosit tactici, tehnici și proceduri mai degrabă standard (TTP).
„Earth Krahang” nu pare a fi un APT militar de nivel înalt. În un nou raport, cercetătorii de la Trend Micro au sugerat că ar putea fi o aripă a iSoon, o operațiune privată de hack-for-hire contractat de Partidul Comunist Chinez (PCC). Și potrivit unei astfel de operațiuni de criminalitate cibernetică, mai degrabă decât să folosească malware ultra-sofisticat și tactici ascunse, folosește un arsenal de instrumente în mare parte deschise și bine documentate, plus vulnerabilități de o zi și inginerie socială standard, pentru a-și învinge țintele.
În ciuda acestui fapt, lista sa de victime rivalizează cu cea a altora Volt Typhoon, BlackTech, și Mustang Panda.
Având vizat nu mai puțin de 116 organizații din 35 de țări, grupul are cel puțin 70 de compromisuri confirmate, inclusiv patru duzini asociate cu diferite guverne mondiale. Într-un caz, a reușit să încalce o gamă largă de organizații conectate la 11 ministere guvernamentale. Victimele au cuprins, de asemenea, sectoarele educației și telecomunicațiilor, finanțelor, IT, sportului și multe altele. Cea mai mare concentrație de victime provine din Asia, dar cazurile acoperă și America (Mexic, Brazilia, Paraguay), Europa (Marea Britanie, Ungaria) și Africa (Egipt, Africa de Sud).
„Utilizarea instrumentelor open source pentru a compromite entitățile guvernamentale este notabilă, dar nu complet surprinzătoare”, spune Callie Guenther, senior manager de cercetare a amenințărilor cibernetice la Critical Start. „Guvernele au adesea infrastructuri IT vaste și complexe, care pot duce la inconsecvențe în practicile de securitate și pot face dificilă apărarea împotriva tuturor tipurilor de atacuri, inclusiv a celor care folosesc instrumente de bază open source.”
Tactica de intruziune a lui Earth Krahang
Unii APT chinezi de succes se disting prin zero-zile unice or tactici complexe pe care le scot mai bun decât toți ceilalți.
Pământul Krahang este mai degrabă un om de afaceri.
Prima sa mișcare este să scaneze Web-ul pentru servere de interes public, cum ar fi cele conectate la organizații guvernamentale. Pentru a verifica vulnerabilitățile pe care le poate folosi, folosește unul dintre orice număr de instrumente de tip open source, disponibile, inclusiv sqlmap, nuclei, xray, vscan, pocsuite și wordpressscan. Două erori în special pe care Earth Krahang îi place să le pradă sunt CVE-2023-32315 — o eroare de execuție a comenzii în serverul de colaborare în timp real Openfire evaluat 7.5 de CVSS — și CVE-2022-21587 — o problemă critică de execuție a comenzii cu rating 9.8. cu Web Applications Desktop Integrator în Oracle's E-Business Suite.
După ce stabilește un punct de sprijin pe un server public, grupul folosește mai mult software open source pentru a scana fișiere sensibile, parole (în special pentru e-mail) și alte resurse utile, cum ar fi subdomenii singure care ar putea indica alte servere neîntreținute. De asemenea, folosește o serie de atacuri de forță brută - de exemplu, folosind o listă de parole comune pentru a sparge serverele Microsoft Exchange prin Outlook pe Web.
„Deși poate părea că sursa deschisă ar trebui să fie ușor de detectat”, spune Jon Clay, vicepreședinte pentru informații despre amenințări la Trend Micro, „realitatea este că există multe TTP-uri aici care trebuie găsite și detectate. De asemenea, utilizarea tacticilor de evaziune a apărării de către acest adversar poate fi utilizată pentru a se asigura că victimele nu se pot apăra.”
Exploatarea lui Earth Krahang și tacticile furtive
Până la sfârșitul tuturor acestor lucruri (și multe altele), atacatorul poate efectua două acțiuni principale: aruncarea ușilor din spate pe servere compromise și deturnarea conturilor de e-mail.
Acesta din urmă este deosebit de util. „Utilizarea sistemelor legitime și a conturilor de e-mail pentru a susține atacul lor este deosebit de interesantă aici, deoarece acest adversar folosește conturi legitime pentru a păcăli o victimă, făcându-le să creadă că sunt în siguranță”, explică Clay. Cu o listă de contacte de mare valoare și legitimitatea câștigată prin utilizarea unui cont de bună credință, grupul trimite e-mailuri cu subiecte care se potrivesc cu proiectul de lege - cum ar fi „Circulara Ministerului Apărării din Malaezia” – URL-uri sau atașamente rău intenționate și nume de fișiere care nu același - de exemplu, „În vizita ministrului de externe paraguayan în Turkmenistan.exe”.
Fie prin e-mail sau printr-o vulnerabilitate a unui server Web, diferitele ținte ale Earth Krahang ajung să descarce una sau mai multe uși din spate.
În primele sale atacuri, în jurul anului 2022, grupul a folosit „RESHELL”, un instrument .NET personalizat destul de simplu pentru colectarea de informații, eliminarea fișierelor și executarea comenzilor sistemului, cu comunicație de comandă și control (C2) criptată AES.
În 2023, grupul s-a mutat la „XDealer”, care are capacități suplimentare, inclusiv înregistrarea tastelor, capturi de ecran și furtul din clipboard. Pe lângă faptul că este compatibil atât cu Windows, cât și cu Linux, XDealer este de asemenea remarcabil deoarece unele dintre încărcătoarele sale conțin certificate valide de semnare a codului. Trend Micro speculează că aceste certificate – unul aparținând unei companii legitime de resurse umane, iar celălalt unei companii de dezvoltare de jocuri – au fost probabil furate pentru a oferi un strat suplimentar de acoperire la descărcarea malware-ului pe sisteme noi.
Pământul Krahang a folosit și el amenințări străvechi precum PlugX și shadowpadși implementează frecvent Cobalt Strike în combinație cu un alt instrument open source (RedGuard) care îi împiedică pe analiștii de securitate cibernetică să-și stabilească infrastructura C2.
Deoarece actorul amenințării trage relativ direct, Guenther sugerează că „se recomandă cele mai bune practici standard pentru a proteja împotriva acestor TTP. Organizațiile ar trebui să-și îmbunătățească securitatea e-mailului pentru a se apăra împotriva spear phishing, să-și actualizeze și să corecteze în mod regulat sistemele pentru a se proteja împotriva vulnerabilităților cunoscute și să folosească segmentarea rețelei pentru a limita răspândirea unui atacator în rețelele lor. Monitorizarea traficului anormal de rețea și a modelelor de acces neobișnuite poate ajuta, de asemenea, la detectarea timpurie a unor astfel de campanii.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
