Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

APT 'Earth Krahang' của Trung Quốc thỏa hiệp với 48 tổ chức chính phủ trên 5 châu lục

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 138

Một nhóm gián điệp Trung Quốc chưa được xác định danh tính trước đây đã xâm nhập được ít nhất 70 tổ chức trên 23 quốc gia, trong đó có 48 tổ chức thuộc chính phủ, mặc dù sử dụng các chiến thuật, kỹ thuật và quy trình khá tiêu chuẩn (TTP).

“Earth Krahang” có vẻ không phải là một APT quân sự cấp cao. TRONG một báo cáo mới, các nhà nghiên cứu từ Trend Micro cho rằng nó có thể là một cánh của iSoon, một hoạt động hack-cho-thuê tư nhân do Đảng Cộng sản Trung Quốc (ĐCSTQ) ký hợp đồng. Và để phù hợp với một hoạt động tội phạm mạng như vậy, thay vì sử dụng các chiến thuật lén lút và phần mềm độc hại cực kỳ tinh vi, nó sử dụng một kho vũ khí phần lớn là nguồn mở và các công cụ được ghi chép rõ ràng, cùng với các lỗ hổng một ngày và kỹ thuật xã hội tiêu chuẩn, để đánh bại các mục tiêu của nó.

Mặc dù vậy, danh sách nạn nhân của nó cạnh tranh với những thứ như Bão Volt, BlackTechGấu trúc Mustang.

Đã nhắm mục tiêu vào không dưới 116 tổ chức trên 35 quốc gia, nhóm này đã có ít nhất 70 vụ xâm phạm được xác nhận, trong đó có bốn chục tổ chức liên kết với các chính phủ khác nhau trên thế giới. Trong một trường hợp, nó đã tấn công được vào hàng loạt tổ chức có liên hệ với 11 bộ của chính phủ. Nạn nhân cũng trải dài trong lĩnh vực giáo dục và viễn thông, tài chính, CNTT, thể thao, v.v. Tỷ lệ nạn nhân tập trung cao nhất đến từ châu Á, nhưng các trường hợp cũng bao gồm châu Mỹ (Mexico, Brazil, Paraguay), châu Âu (Anh, Hungary) và châu Phi (Ai Cập, Nam Phi).

Callie Guenther, giám đốc cấp cao về nghiên cứu mối đe dọa mạng tại Critical Start, cho biết: “Việc sử dụng các công cụ nguồn mở để xâm phạm các tổ chức chính phủ là điều đáng chú ý nhưng không hoàn toàn đáng ngạc nhiên”. “Các chính phủ thường có cơ sở hạ tầng CNTT rộng lớn và phức tạp, điều này có thể dẫn đến sự không nhất quán trong thực tiễn bảo mật và gây khó khăn cho việc chống lại tất cả các loại tấn công, kể cả những loại tấn công sử dụng các công cụ nguồn mở cơ bản.”

Chiến thuật xâm nhập của Earth Krahang

Một số APT Trung Quốc thành công nổi bật với ngày số 0 độc nhất or những chiến thuật phức tạp mà họ thực hiện tốt hơn mọi người khác.

Earth Krahang giống như một nơi có đủ mọi thứ.

Động thái đầu tiên của nó là quét Web để tìm các máy chủ được công chúng quan tâm, chẳng hạn như các máy chủ được kết nối với các tổ chức chính phủ. Để kiểm tra các lỗ hổng mà nó có thể tận dụng, nó sử dụng một trong số các công cụ nguồn mở sẵn có, bao gồm sqlmap, nuclei, xray, vscan, pocsuite và wordpressscan. Hai lỗi đặc biệt mà Earth Krahang thích săn lùng là CVE-2023-32315 — một lỗi thực thi lệnh trong máy chủ cộng tác thời gian thực Openfire được CVSS đánh giá 7.5 — và CVE-2022-21587 — một lỗi thực thi lệnh nghiêm trọng được xếp hạng 9.8 với Bộ tích hợp máy tính để bàn ứng dụng web trong Bộ kinh doanh điện tử của Oracle.

Sau khi thiết lập chỗ đứng trên máy chủ công cộng, nhóm sử dụng phần mềm nguồn mở hơn để quét các tệp nhạy cảm, mật khẩu (đặc biệt là email) và các tài nguyên hữu ích khác, như tên miền phụ đơn lẻ có thể trỏ đến các máy chủ không được bảo trì. Nó cũng sử dụng một số cuộc tấn công vũ phu - ví dụ: sử dụng danh sách mật khẩu phổ biến để bẻ khóa máy chủ Microsoft Exchange thông qua Outlook trên Web.

Jon Clay, phó chủ tịch tình báo mối đe dọa tại Trend Micro cho biết: “Mặc dù có vẻ như nguồn mở rất dễ bị phát hiện, nhưng thực tế là có rất nhiều TTP ở đây cần phải được tìm thấy và phát hiện. Ngoài ra, việc kẻ thù này sử dụng chiến thuật né tránh phòng thủ có thể được sử dụng để đảm bảo nạn nhân không thể tự vệ.”

Chiến thuật khai thác và tàng hình của Earth Krahang

Khi kết thúc tất cả những điều này (và hơn thế nữa), kẻ tấn công có thể thực hiện hai hành động chính: thả cửa hậu trên các máy chủ bị xâm nhập và chiếm đoạt tài khoản email.

Cái sau được sử dụng đặc biệt. Clay giải thích: “Việc sử dụng các hệ thống và tài khoản email hợp pháp để hỗ trợ cuộc tấn công của chúng đặc biệt thú vị ở đây, bởi vì kẻ thù này sử dụng các tài khoản hợp pháp để đánh lừa nạn nhân nghĩ rằng họ an toàn”. Với danh sách các địa chỉ liên hệ có giá trị cao và tính hợp pháp có được bằng cách sử dụng tài khoản chân chính, nhóm này sẽ gửi email có dòng chủ đề phù hợp với quy định — chẳng hạn như “Thông tư của Bộ Quốc phòng Malaysia” — các URL hoặc tệp đính kèm và tên tệp độc hại. tương tự - ví dụ: “Trong chuyến thăm của Bộ trưởng Ngoại giao Paraguay tới Turkmenistan.exe.”

Cho dù qua email hay lỗ hổng trong máy chủ Web, các mục tiêu khác nhau của Earth Krahang đều tải xuống một hoặc nhiều cửa hậu.

Trong các cuộc tấn công đầu tiên của mình, vào khoảng năm 2022, nhóm này đã sử dụng “RESHELL”, một công cụ .NET tùy chỉnh khá đơn giản để thu thập thông tin, thả tệp và thực thi các lệnh hệ thống, với giao tiếp ra lệnh và kiểm soát (C2) được mã hóa AES.

Vào năm 2023, nhóm chuyển sang “XDealer”, có nhiều khả năng hơn bao gồm ghi nhật ký thao tác bàn phím, chụp ảnh màn hình và đánh cắp từ bảng nhớ tạm. Bên cạnh khả năng tương thích với cả Windows và Linux, XDealer còn đáng chú ý vì một số trình tải của nó chứa chứng chỉ ký mã hợp lệ. Trend Micro suy đoán rằng những chứng chỉ này – một thuộc về một công ty nhân sự hợp pháp và một thuộc về một công ty phát triển trò chơi – có thể đã bị đánh cắp để cung cấp thêm một lớp bảo vệ khi tải phần mềm độc hại xuống hệ thống mới.

Earth Krahang cũng đã sử dụng các mối đe dọa cổ xưa như PlugXShadowPadvà nó thường xuyên triển khai Cobalt Strike kết hợp với một công cụ nguồn mở khác (RedGuard) để ngăn các nhà phân tích an ninh mạng xác định cơ sở hạ tầng C2 của nó.

Bởi vì kẻ đe dọa tương đối dễ dàng tấn công, Guenther gợi ý rằng “các phương pháp tiêu chuẩn tốt nhất được khuyến nghị để bảo vệ chống lại các TTP này. Các tổ chức nên tăng cường bảo mật email của mình để chống lại lừa đảo trực tuyến, thường xuyên cập nhật và vá lỗi hệ thống của mình để bảo vệ khỏi các lỗ hổng đã biết và sử dụng phân đoạn mạng để hạn chế sự lây lan của kẻ tấn công trong mạng của họ. Việc giám sát lưu lượng truy cập mạng bất thường và các kiểu truy cập bất thường cũng có thể giúp phát hiện sớm các chiến dịch như vậy.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.