'Earth Krahang' olarak bilinen Çinli gelişmiş kalıcı tehdit (APT) grubuna atfedilen sofistike bir hack kampanyası 70 kuruluşu ihlal etti ve 45 ülkede en az 116'yı hedef aldı.
Etkinliği izleyen trend mikro araştırmacılarına göre, kampanya 2022'nin başından beri devam ediyor ve öncelikle hükümet kuruluşlarına odaklanıyor.
Özellikle, bilgisayar korsanları, 10 tanesi Dışişleri Bakanlıkları olan 48 hükümet kuruluşundan ödün verdiler ve 49 devlet kurumunu daha hedef aldı.
Saldırganlar, savunmasız internete dönük sunuculardan yararlanır ve siber boyama için özel backdoors dağıtmak için mızrak aktı e-postaları kullanır.
Earth Krahang, diğer hükümetlere saldırmak için ihlal edilen hükümet altyapısındaki varlığını kötüye kullanıyor, tehlikeye atılan sistemlerde VPN sunucuları oluşturuyor ve değerli e-posta hesapları için şifreleri kırmak için kaba zorlama gerçekleştiriyor.
Tehdit aktörleri, CVE-2023-32315 (OpenFire) ve CVE-2022-21587 (Oracle Web Uygulamaları) gibi belirli güvenlik açıkları için kamuya açık sunucuları taramak için açık kaynaklı araçlar kullanır.
Bu kusurlardan yararlanarak, yetkisiz erişim elde etmek ve kurban ağlarında kalıcılık oluşturmak için web kabukları dağıtıyorlar.
Alternatif olarak, alıcıları, alıcıları ekleri açmaya veya bağlantıları tıklamaya çekmek için jeopolitik konular etrafında temalı mesajlar ile mızrak akışını ilk erişim vektörü olarak kullanırlar.
Ağın içine girdikten sonra Krahang, kötü niyetli yüklere ev sahipliği yapmak, vekil saldırı trafiğini barındırmak ve meslektaşlarını veya mızrak aktı e-postaları olan diğer hükümetleri hedeflemek için hacklenmiş hükümet e-posta hesaplarını kullanmak için uzlaşmış altyapıyı kullanır.
Trend Micro'nun raporu, "Earth Krahang'ın keşif aşamasında hedeflerinden yüzlerce e -posta adresi aldığını fark ettik."
"Bir durumda aktör, aynı varlığa ait 796 e -posta adresine kötü niyetli bir ek göndermek için bir devlet kuruluşundan tehlikeye atılmış bir posta kutusu kullandı."
Bu e -postalar, kurbanların bilgisayarlarına geri dönen kötü niyetli ekler içerir, enfeksiyonu yayar ve tespit ve temizlik durumunda fazlalık elde eder.
Trend Micro, saldırganların Brute Force Exchange kimlik bilgilerini tehlikeye atılmış Outlook hesaplarını kullanırken, Zimbra sunucularından e -postaları açığa çıkarma konusunda uzmanlaşmış Python komut dosyaları da tespit edildi.
Tehdit grubu ayrıca kurbanlarının özel ağlarına erişim sağlamak ve bu ağlar içinde yanal olarak hareket etme yeteneklerini daha da artırmak için SoftetherVPN'yi kullanarak ödün verilen kamuya açık sunucular üzerinde VPN sunucuları oluşturur.
Ağdaki varlıklarını belirleyen Eath Krahang, komut yürütme ve veri toplama yetenekleri sağlayan Cobalt Strike, Reshell ve Xdealer gibi kötü amaçlı yazılım ve araçlar dağıtır.
XDealer, Linux ve Windows'u desteklediği ve ekran görüntüleri, günlük tuş vuruşları ve pano verilerini kesebildiği için iki arka kolun daha sofistike ve karmaşıktır.
Trend Micro, başlangıçta Earth Krahang ve China-Nexus aktörü Earth Lusca arasında, komuta ve kontrol (C2) örtüşmelerine dayanarak, ancak bunun ayrı bir küme olduğunu belirlediğini söylüyor.
Her iki tehdit grubunun Çin şirketi I-Soon altında faaliyet göstermesi ve devlet kuruluşlarına siber sorumluluk için özel bir görev gücü olarak çalışması mümkündür.
Ayrıca, Reshell daha önce 'Galyum' Grubu ve Xdealer ile 'Luoyu' bilgisayar korsanları ile ilişkilendirilmişti. Bununla birlikte, Trend Micro'nun içgörü, bu araçların muhtemelen her biri farklı bir şifreleme anahtarı kullanan tehdit aktörleri arasında paylaşıldığını göstermektedir.
Bu Dünya Krahang kampanyası için uzlaşma göstergelerinin (IOC'ler) tam listesi burada ayrı olarak yayınlanmaktadır.
Blackwood Hacker'ları Kaçırılmış WPS Office güncellemesi kötü amaçlı yazılım yüklemek için
CISA, Çinli bilgisayar korsanlarına karşı kritik altyapı savunma ipuçlarını paylaşıyor
Fransız işsizlik ajansı veri ihlali 43 milyon kişiyi etkiler
İsviçre: Fidye Yazılımı Oyun 65.000 hükümet belgesi
Google Mühendis, Çinli firmalar için AI teknoloji sırlarını çalmayı yakaladı
Kaynak: Bleeping Computer