Kinesiska APT 'Earth Krahang' kompromissar 48 regeringsorganisationer på 5 kontinenter

En tidigare oidentifierad kinesisk spionagegrupp har lyckats bryta mot minst 70 organisationer i 23 länder, inklusive 48 i regeringsutrymmet, trots att de har använt taktik, tekniker och procedurer (TTP) med ganska standardpriser.

"Earth Krahang" verkar inte vara en militär APT på hög nivå. I en ny rapport, föreslog forskare från Trend Micro att det kan vara en vinge av iSoon, en privat hack-for-hire-operation kontrakterades av det kinesiska kommunistpartiet (KKP). Och för att passa en sådan cyberbrottsoperation, snarare än att använda ultrasofistikerad skadlig programvara och smygtaktik, använder den en arsenal av till stor del öppen källkod och väldokumenterade verktyg, plus endagssårbarheter och standard social ingenjörskonst, för att besegra sina mål.

Trots detta konkurrerar dess lista över offer med den som liknar Volt Typhoon, BlackTechoch Mustang Panda.

Efter att ha riktat in sig på inte mindre än 116 organisationer i 35 länder, har gruppen minst 70 bekräftade kompromisser, inklusive fyra dussin associerade med olika världsregeringar. I ett fall lyckades den bryta ett brett spektrum av organisationer kopplade till 11 regeringsdepartement. Offren har också sträckt sig över utbildnings- och telekommunikationssektorerna, finans, IT, sport med mera. Den högsta koncentrationen av offer kommer från Asien, men fallen omfattar även Amerika (Mexiko, Brasilien, Paraguay), Europa (Storbritannien, Ungern) och Afrika (Egypten, Sydafrika).

"Användningen av verktyg med öppen källkod för att kompromissa med statliga enheter är anmärkningsvärt, men inte helt överraskande", säger Callie Guenther, senior manager för cyberhotsforskning på Critical Start. "Regeringar har ofta stora och komplexa IT-infrastrukturer, vilket kan leda till inkonsekvenser i säkerhetspraxis och göra det svårt att försvara sig mot alla typer av attacker, inklusive de som använder grundläggande verktyg med öppen källkod."

Earth Krahangs intrångstaktik

Vissa framgångsrika kinesiska APT utmärker sig med unika nolldagar or komplexa taktiker de använder bättre än alla andra.

Earth Krahang är mer av en jack-of-all-trades.

Dess första steg är att skanna webben efter servrar som är av intresse för allmänheten, till exempel de som är anslutna till statliga organisationer. För att kontrollera sårbarheter som den kan utnyttja använder den ett av valfritt antal öppen källkod, off-the-shelf-verktyg, inklusive sqlmap, nuclei, xray, vscan, pocsuite och wordpressscan. Speciellt två buggar som Earth Krahang gillar att ägna sig åt är CVE-2023-32315 — ett kommandokörningsfel i realtidssamarbetesservern Openfire med betyget 7.5 av CVSS — och CVE-2022-21587 — ett kritiskt 9.8-klassat kommandoexekveringsproblem med Web Applications Desktop Integrator i Oracles E-Business Suite.

Efter att den har etablerat sig på en offentlig server, använder gruppen mer öppen källkod för att söka efter känsliga filer, lösenord (särskilt för e-post) och andra användbara resurser, som ensamma underdomäner som kan peka på ytterligare servrar som inte underhålls. Den använder också ett antal brute force-attacker – till exempel genom att använda en lista med vanliga lösenord för att knäcka Microsoft Exchange-servrar via Outlook på webben.

"Även om det kan tyckas som om öppen källkod borde vara lätt att upptäcka", säger Jon Clay, vice vd för hotintelligens på Trend Micro, "är verkligheten att det finns många TTP:er här som måste hittas och upptäckas. Dessutom kan den här motståndarens användning av försvarsflyktstaktik användas för att säkerställa att offren inte kan försvara sig."

Earth Krahangs exploatering och smygtaktik

I slutet av allt detta (och mycket mer) kan angriparen utföra två primära åtgärder: släppa bakdörrar på komprometterade servrar och kapa e-postkonton.

Det senare är särskilt användbart. "Användningen av legitima system och e-postkonton för att stödja deras attack är särskilt intressant här, eftersom den här motståndaren använder legitima konton för att lura ett offer att tro att de är säkra," förklarar Clay. Med en lista över värdefulla kontakter och den legitimitet som erhållits genom att använda ett bona fide-konto, skickar gruppen ut e-postmeddelanden med ämnesrader som passar räkningen - som "Malaysian Ministry of Defense Circular" - skadliga webbadresser eller bilagor och filnamn som gör det samma sak — t.ex. "På den paraguayanska utrikesministerns besök i Turkmenistan.exe."

Oavsett om det är via e-post eller en sårbarhet i en webbserver, kommer Earth Krahangs olika mål att ladda ner en eller flera bakdörrar.

I sina tidigaste attacker, cirka 2022, använde gruppen "RESHELL", ett ganska enkelt skräddarsytt .NET-verktyg för att samla in information, släppa filer och utföra systemkommandon, med AES-krypterad kommando-och-kontroll (C2) kommunikation.

År 2023 flyttade gruppen till "XDealer", som har ytterligare möjligheter, inklusive tangentloggning, skärmdumpning och stjäl från urklipp. Förutom att vara kompatibel med både Windows och Linux, är XDealer också anmärkningsvärd eftersom vissa av dess laddare innehåller giltiga kodsigneringscertifikat. Trend Micro spekulerar i att dessa certifikat – det ena tillhör ett legitimt personalföretag och det andra till ett spelutvecklingsföretag – troligen har stulits för att ge ett extra lager av skydd när skadlig programvara laddades ner till nya system.

Earth Krahang har också använt sig av uråldriga hot som PlugX och ShadowPad, och det distribuerar ofta Cobalt Strike i kombination med ett annat verktyg med öppen källkod (RedGuard) som förhindrar cybersäkerhetsanalytiker från att fästa sin C2-infrastruktur.

Eftersom hotaktören är relativt rakt skjuten, föreslår Guenther att "standardiserade bästa praxis rekommenderas för att skydda mot dessa TTP:er. Organisationer bör förbättra sin e-postsäkerhet för att försvara sig mot nätfiske, regelbundet uppdatera och korrigera sina system för att skydda mot kända sårbarheter och använda nätverkssegmentering för att begränsa spridningen av en angripare inom sina nätverk. Övervakning av onormal nätverkstrafik och ovanliga åtkomstmönster kan också hjälpa till att tidigt upptäcka sådana kampanjer.”

SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
Källa: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents

Generativ dataintelligens

Kinesiska APT 'Earth Krahang' kompromissar med 48 regeringsorganisationer på 5 kontinenter

Earth Krahangs intrångstaktik

Earth Krahangs exploatering och smygtaktik

VC Café

VC Café

Senaste intelligens

Bitcoin leder 30-dagars NFT-försäljning och överträffar 24 blockkedjekonkurrenter

Den här veckans fantastiska tekniska berättelser från hela webben (till och med den 27 april)

Att prioritera First-Mover Advantage framför säkerhet gör Defi-protokollen sårbara för hacks – Nikita Ovchinnik

HKTDC avslöjar gåvor, tryckning, förpackning och licensiering

Carlie Hanson hyllar med sin uppriktiga cover på Alice In Chains 'Nutshell'

Hyundai kommer att bygga fler hybrider för att komplettera den långsammare efterfrågan på elbilar – Autoblog