Daha önce kimliği belirlenemeyen bir Çin casusluk grubu, standart ücret taktikleri, teknikleri ve prosedürlerini (TTP'ler) kullanmasına rağmen, 70'i hükümet alanında olmak üzere 23 ülkede en az 48 kuruluşa sızmayı başardı.
“Earth Krahang” üst düzey bir askeri APT gibi görünmüyor. İçinde yeni bir raporTrend Micro'dan araştırmacılar bunun bir kanat olabileceğini öne sürdü iSoon, özel bir kiralık hack operasyonu Çin Komünist Partisi (ÇKP) ile sözleşme imzalandı. Ve böyle bir siber suç operasyonuna uygun olarak, ultra gelişmiş kötü amaçlı yazılım ve gizlilik taktikleri kullanmak yerine, hedeflerini alt etmek için büyük ölçüde açık kaynaklı ve iyi belgelenmiş araçların yanı sıra bir günlük güvenlik açıklarından ve standart sosyal mühendislikten oluşan bir cephanelik kullanıyor.
Buna rağmen kurban listesi benzerlerininkiyle yarışıyor Volt Tayfunu, siyah teknoloji, ve Mustang Pandası.
116 ülkede en az 35 kuruluşu hedef alan grubun, dördü çeşitli dünya hükümetleriyle bağlantılı olmak üzere en az 70 onaylanmış uzlaşması var. Bir vakada, 11 hükümet bakanlığına bağlı çok çeşitli kuruluşlara sızmayı başardı. Mağdurlar aynı zamanda eğitim ve telekomünikasyon sektörlerini, finansı, bilişim teknolojilerini, sporu ve daha fazlasını da kapsıyor. En yüksek mağdur yoğunluğu Asya'dan geliyor ancak vakalar Amerika kıtasını (Meksika, Brezilya, Paraguay), Avrupa'yı (İngiltere, Macaristan) ve Afrika'yı (Mısır, Güney Afrika) da kapsıyor.
Critical Start'ın siber tehdit araştırmalarından sorumlu kıdemli yöneticisi Callie Guenther, "Devlet kurumlarının güvenliğini tehlikeye atmak için açık kaynak araçlarının kullanılması dikkate değer, ancak tamamen şaşırtıcı değil" diyor. "Devletler genellikle geniş ve karmaşık BT altyapılarına sahiptir; bu da güvenlik uygulamalarında tutarsızlıklara yol açabilir ve temel açık kaynak araçlarını kullananlar da dahil olmak üzere her türlü saldırıya karşı savunmayı zorlaştırabilir."
Earth Krahang'ın Saldırı Taktikleri
Bazı başarılı Çin APT'leri şu özellikleriyle öne çıkıyor: benzersiz sıfır günler or uyguladıkları karmaşık taktikler herkesten daha iyi.
Earth Krahang daha çok her işi bilen biri.
İlk hamlesi, kamu kuruluşlarına bağlı olanlar gibi kamuya açık sunucular için Web'i taramaktır. Yararlanabileceği güvenlik açıklarını kontrol etmek için sqlmap, nukleus, xray, vscan, pocsuite ve wordpressscan dahil olmak üzere herhangi bir sayıda açık kaynak, kullanıma hazır araçtan birini kullanır. Earth Krahang'ın özellikle avlamayı sevdiği iki hata, CVSS tarafından 2023 puan alan gerçek zamanlı işbirliği sunucusu Openfire'daki bir komut yürütme hatası olan CVE-32315-7.5 ve 2022 puan alan kritik bir komut yürütme sorunu olan CVE-21587-9.8'dir. Oracle'ın E-Business Suite'indeki Web Uygulamaları Masaüstü Entegratörü ile.
Grup, genel bir sunucuda tutunma noktası oluşturduktan sonra, hassas dosyaları, şifreleri (özellikle e-posta için) ve daha fazla bakımı yapılmayan sunuculara işaret edebilecek yalnız alt alanlar gibi diğer yararlı kaynakları taramak için daha fazla açık kaynaklı yazılım kullanıyor. Ayrıca bir dizi kaba kuvvet saldırısı da kullanıyor; örneğin, Web üzerinde Outlook aracılığıyla Microsoft Exchange sunucularını kırmak için ortak parolaların bir listesini kullanmak.
Trend Micro'nun tehdit istihbaratından sorumlu başkan yardımcısı Jon Clay, "Açık kaynağın tespit edilmesi kolay gibi görünse de" diyor ve şöyle devam ediyor: "Gerçek şu ki, burada bulunması ve tespit edilmesi gereken çok sayıda TTP var. Ayrıca, bu düşmanın savunmadan kaçma taktiklerini kullanması, kurbanların savunma yapamayacak durumda olmasını sağlamak için kullanılabilir."
Earth Krahang'ın Sömürü ve Gizlilik Taktikleri
Tüm bunların (ve çok daha fazlasının) sonunda, saldırgan iki temel eylem gerçekleştirebilir: güvenliği ihlal edilmiş sunuculara arka kapılar açmak ve e-posta hesaplarını ele geçirmek.
İkincisi özellikle faydalıdır. Clay, "Saldırılarını desteklemek için meşru sistemlerin ve e-posta hesaplarının kullanılması burada özellikle ilginç çünkü bu düşman, kurbanı güvende olduklarını düşündürmek için meşru hesapları kullanıyor" diye açıklıyor. Grup, yüksek değerli kişilerin bir listesi ve iyi niyetli bir hesap kullanılarak kazanılan meşruiyetle, "Malezya Savunma Bakanlığı Genelgesi" gibi konu satırlarına uygun kötü amaçlı URL'ler veya ekler ve dosya adları içeren e-postalar gönderiyor. aynı - örneğin "Paraguay Dışişleri Bakanı'nın Turkmenistan.exe'ye yaptığı ziyarette."
İster e-posta ister Web sunucusundaki bir güvenlik açığı yoluyla olsun, Earth Krahang'ın çeşitli hedefleri bir veya daha fazla arka kapının indirilmesiyle sonuçlanır.
Grup, 2022 dolaylarında gerçekleştirdiği ilk saldırılarında, AES şifreli komut ve kontrol (C2) iletişimiyle bilgi toplamak, dosyaları bırakmak ve sistem komutlarını yürütmek için oldukça basit, özel yapım bir .NET aracı olan "RESHELL"i kullandı.
Grup 2023'te keylogging, ekran görüntüsü alma ve panodan çalma gibi daha fazla özelliğe sahip olan "XDealer"a taşındı. Hem Windows hem de Linux ile uyumlu olmasının yanı sıra XDealer, bazı yükleyicilerinin geçerli kod imzalama sertifikaları içermesi nedeniyle de dikkat çekicidir. Trend Micro, biri meşru bir insan kaynakları şirketine, diğeri ise bir oyun geliştirme şirketine ait olan bu sertifikaların, kötü amaçlı yazılımın yeni sistemlere indirilmesi sırasında ekstra bir koruma katmanı sağlamak için büyük olasılıkla çalındığını tahmin ediyor.
Earth Krahang da bundan yararlandı PlugX gibi eski tehditler ve Gölge Padve Cobalt Strike'ı sıklıkla başka bir açık kaynak araçla (RedGuard) birlikte kullanıyor ve bu da siber güvenlik analistlerinin C2 altyapısını belirlemesini engelliyor.
Tehdit aktörünün nispeten dürüst olması nedeniyle Günther, "Bu TTP'lere karşı koruma sağlamak için standart en iyi uygulamaların önerildiğini" öne sürüyor. Kuruluşlar, hedef odaklı kimlik avına karşı savunma sağlamak için e-posta güvenliklerini geliştirmeli, bilinen güvenlik açıklarına karşı koruma sağlamak için sistemlerini düzenli olarak güncellemeli ve yamalar yapmalı ve bir saldırganın ağlarında yayılmasını sınırlamak için ağ bölümlendirmeyi kullanmalıdır. Anormal ağ trafiğinin ve olağandışı erişim modellerinin izlenmesi de bu tür kampanyaların erken tespit edilmesine yardımcı olabilir."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
