Varem tuvastamata Hiina spionaažirühmitus on suutnud murda vähemalt 70 organisatsiooni 23 riigis, sealhulgas 48 valitsuses, hoolimata üsna standardhinna taktikate, tehnikate ja protseduuride (TTP) kasutamisest.
"Earth Krahang" ei tundu olevat kõrgetasemeline sõjaline APT. sisse uus aruanne, väitsid Trend Micro teadlased, et see võib olla üks tiib iSoon, eraviisiline häkkimisoperatsioon lepingu sõlmis Hiina Kommunistlik Partei (CCP). Ja sellise küberkuritegevusega sobitamiseks, selle asemel, et kasutada ülikeerulist pahavara ja varjamistaktikat, kasutab see oma sihtmärkide alistamiseks suures osas avatud lähtekoodiga ja hästi dokumenteeritud tööriistade arsenali, lisaks ühepäevaseid haavatavusi ja standardset sotsiaalset manipuleerimist.
Sellele vaatamata konkureerib selle ohvrite nimekiri teiste sarnaste ohvritega Volt Typhoon, BlackTechja Mustang Panda.
Olles võtnud sihikule vähemalt 116 organisatsiooni 35 riigist, on rühmal vähemalt 70 kinnitatud kompromissi, sealhulgas neli tosinat erinevate maailma valitsustega seotud. Ühel juhul õnnestus sellega rikkuda paljusid 11 valitsuse ministeeriumiga seotud organisatsioone. Ohvrid on hõlmanud ka haridus- ja telekommunikatsioonisektorit, rahandust, IT-d, sporti ja palju muud. Kõige rohkem ohvreid tuleb Aasiast, kuid juhtumid hõlmavad ka Ameerikat (Mehhiko, Brasiilia, Paraguay), Euroopat (Suurbritannia, Ungari) ja Aafrikat (Egiptus, Lõuna-Aafrika).
"Avatud lähtekoodiga tööriistade kasutamine valitsusüksuste kompromiteerimiseks on tähelepanuväärne, kuid mitte täiesti üllatav," ütleb Critical Starti küberohtude uurimise vanemjuht Callie Guenther. "Valitsustel on sageli ulatuslik ja keerukas IT-infrastruktuur, mis võib põhjustada ebakõlasid turvatavades ja raskendada kaitset igat tüüpi rünnakute eest, sealhulgas põhilisi avatud lähtekoodiga tööriistu kasutavate rünnakute eest."
Maa Krahangi sissetungimise taktika
Mõned edukad Hiina APT-d eristuvad ainulaadsed nullpäevad or keerukaid taktikaid, mida nad kasutavad parem kui kõik teised.
Earth Krahang on pigem jack-of-all-trades.
Selle esimene samm on otsida veebist avalikkusele suunatud huvipakkuvaid servereid, näiteks neid, mis on ühendatud valitsusasutustega. Haavatavuste kontrollimiseks, mida see võib kasutada, kasutab see üht paljudest avatud lähtekoodiga valmistööriistadest, sealhulgas sqlmap, nuclei, xray, vscan, pocsuite ja wordpressscan. Kaks viga, mille vastu Earth Krahang meeldib, on CVE-2023-32315 – reaalajas koostööserveri Openfire käsutäitmise viga, mille CVSS hindas 7.5 – ja CVE-2022-21587 – kriitiline 9.8 reitinguga käsu täitmise probleem. veebirakenduste töölauaintegraatoriga Oracle'i E-Business Suite'is.
Pärast seda, kui rühm on avalikus serveris kinni hoidnud, kasutab rühm rohkem avatud lähtekoodiga tarkvara, et otsida tundlikke faile, paroole (eriti meilisõnumeid) ja muid kasulikke ressursse, näiteks üksikuid alamdomeene, mis võivad osutada edasistele hooldamata serveritele. See kasutab ka mitmeid jõhkra jõu rünnakuid – näiteks tavaliste paroolide loendit Microsoft Exchange'i serverite murdmiseks Outlooki veebipõhiselt.
"Kuigi võib tunduda, et avatud lähtekoodiga peaks olema lihtne tuvastada," ütleb Trend Micro ohuluure asepresident Jon Clay, "reaalsus on see, et siin on palju TTP-sid, mis tuleb leida ja tuvastada. Samuti saab selle vastase kaitsest kõrvalehoidmise taktikat kasutada tagamaks, et ohvrid ei suuda end kaitsta.
Maa Krahangi ekspluateerimine ja varjamise taktikad
Kõige selle (ja palju muu) lõpuks saab ründaja teha kaks peamist toimingut: kaotada ohustatud serverite tagauksed ja kaaperdada meilikontod.
Viimane on eriti kasulik. "Õiguspäraste süsteemide ja meilikontode kasutamine nende rünnaku toetamiseks on siin eriti huvitav, sest see vastane kasutab legitiimseid kontosid, et petta ohvrit arvama, et nad on ohutud," selgitab Clay. Tänu väärtuslike kontaktide loendile ja heauskse konto kasutamisega saavutatud legitiimsusele saadab grupp välja e-kirju, mille teemaread sobivad arve – näiteks „Malaisia kaitseministeeriumi ringkiri” –, pahatahtlikke URL-e või manuseid ja failinimesid. sama — nt “Paraguay välisministri visiidil Turkmenistani.exe”.
Kas meili teel või veebiserveri haavatavuse kaudu, laadivad Earth Krahangi erinevad sihtmärgid lõpuks alla ühe või mitu tagaust.
Oma esimestes rünnetes, umbes 2022. aastal, kasutas rühmitus RESHELL – üsna lihtsat kohandatud .NET-i tööriista teabe kogumiseks, failide kukutamiseks ja süsteemikäskude täitmiseks koos AES-krüpteeritud käsu-ja juhtimise (C2) suhtlusega.
2023. aastal kolis grupp XDealerisse, millel on täiendavad võimalused, sealhulgas klahvilogimine, ekraanipildi tegemine ja lõikelaualt varastamine. Lisaks ühilduvusele nii Windowsi kui ka Linuxiga on XDealer tähelepanuväärne ka seetõttu, et mõned selle laadijad sisaldavad kehtivaid koodiallkirjastamise sertifikaate. Trend Micro oletab, et need sertifikaadid, millest üks kuulub seaduslikule personaliettevõttele ja teine mänguarendusettevõttele, varastati tõenäoliselt selleks, et pakkuda täiendavat kattekihti pahavara uutesse süsteemidesse allalaadimisel.
Maa Krahang on samuti kasutanud iidsed ohud nagu PlugX ja ShadowPad, ja see juurutab sageli Cobalt Strike'i koos teise avatud lähtekoodiga tööriistaga (RedGuard), mis takistab küberjulgeoleku analüütikutel selle C2 infrastruktuuri kinni panemast.
Kuna ohustaja on suhteliselt otsekohene, soovitab Guenther, et "nende TTP-de eest kaitsmiseks on soovitatav kasutada standardseid parimaid tavasid. Organisatsioonid peaksid suurendama oma e-posti turvalisust, et kaitsta end andmepüügi eest, regulaarselt värskendama ja parandama oma süsteeme, et kaitsta end teadaolevate haavatavuste eest, ning kasutama võrgu segmenteerimist, et piirata ründaja levikut oma võrkudes. Ebatavalise võrguliikluse ja ebatavaliste juurdepääsumustrite jälgimine võib samuti aidata selliseid kampaaniaid varakult tuvastada.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
- :on
- :on
- :mitte
- $ UP
- 11
- 116
- 2022
- 2023
- 23
- 35%
- 48
- 5
- 7
- 70
- 9
- a
- ebanormaalne
- juurdepääs
- konto
- Kontod
- üle
- meetmete
- näitleja
- vastane
- Aafrika
- vastu
- Materjal: BPA ja flataatide vaba plastik
- Ka
- Ameerikas
- an
- Analüütikud
- ja
- Teine
- mistahes
- rakendused
- APT
- OLEME
- Arsenal
- AS
- Aasia
- seotud
- At
- rünnak
- ründaja
- Reageerib
- Tagauksed
- põhiline
- BE
- sest
- on
- kuulumine
- Pealegi
- BEST
- parimaid tavasid
- Parem
- arve
- mõlemad
- Brasiilia
- rikkumine
- Suurbritannia
- toores jõud
- Bug
- vead
- kuid
- by
- Kampaaniad
- CAN
- võimeid
- juhul
- juhtudel
- CCP
- tunnistused
- kontrollima
- hiina
- Hiina kommunistlik partei
- umbes
- ring-
- koostöö
- Kollektsioneerimine
- kombinatsioon
- tuleb
- ühine
- KOMMUNIKATSIOON
- ettevõte
- kokkusobiv
- keeruline
- kompromiss
- Kompromissitud
- kontsentratsioon
- KINNITATUD
- seotud
- sidemed
- sisaldama
- mandrite
- riikides
- cover
- pragu
- kriitiline
- cyber
- Küberkuritegevus
- Küberturvalisus
- kaitsma
- kaitse
- juurutab
- lauaarvuti
- Vaatamata
- avastama
- tuvastatud
- Detection
- & Tarkvaraarendus
- raske
- eristama
- do
- ei
- alla
- allalaadimine
- tosin
- Drop
- Kukkumine
- e
- varem
- Varajane
- maa
- lihtne
- Käsitöö
- Egiptus
- teine
- e-posti turvalisus
- kirju
- tööle
- töötab
- lõpp
- Inseneriteadus
- suurendama
- tagama
- täielikult
- üksuste
- spionaaž
- kehtestab
- Eeter (ETH)
- Euroopa
- kõrvalehoidumise
- igaüks
- näide
- vahetamine
- hukkamine
- täitmine
- Selgitab
- kasutamine
- lisatasu
- fail
- Faile
- rahastama
- esimene
- sobima
- paigaldamine
- eest
- Sundida
- välis-
- avastatud
- neli
- sageli
- Alates
- edasi
- saadud
- mäng
- mängu arendamine
- Valitsus
- Valitsusüksused
- Valitsused
- Grupp
- Olema
- aitama
- siin
- kõrgetasemeline
- kõrgeim
- kaaperdamine
- HTML
- HTTPS
- inim-
- Inimressursid
- Ungari
- in
- Kaasa arvatud
- vastuolud
- info
- Infrastruktuur
- infrastruktuur
- Intelligentsus
- huvi
- huvitav
- sisse
- probleem
- IT
- ITS
- Jon
- jpg
- teatud
- suurelt jaolt
- viimane
- kiht
- viima
- kõige vähem
- legitiimsus
- õigustatud
- vähem
- Finantsvõimendus
- nagu
- Tõenäoliselt
- meeldib
- LIMIT
- liinid
- Linux
- nimekiri
- tehtud
- tegema
- Malaisia
- pahatahtlik
- malware
- juhitud
- juht
- palju
- mai..
- Mehhiko
- micro
- Microsoft
- võib
- Sõjaline
- minister
- ministeerium
- järelevalve
- rohkem
- liikuma
- kolis
- palju
- mitmekordne
- nimed
- neto
- võrk
- võrguliiklus
- võrgustikud
- Uus
- ei
- märkimisväärne
- number
- of
- sageli
- on
- ONE
- avatud
- avatud lähtekoodiga
- töö
- or
- oraakel
- organisatsioonid
- Muu
- välja
- väljavaade
- Paraguai
- paraguai
- eriline
- eriti
- partei
- paroolid
- Plaaster
- mustrid
- täitma
- Phishing
- Platon
- Platoni andmete intelligentsus
- PlatoData
- pluss
- Punkt
- tavad
- president
- takistab
- varem
- saak
- esmane
- era-
- menetlused
- kaitsma
- anda
- avalik
- valik
- nominaal-
- pigem
- reaalajas
- Reaalsus
- soovitatav
- regulaarselt
- suhteliselt
- teadustöö
- Teadlased
- Vahendid
- rivaalid
- s
- ohutu
- sama
- ütleb
- skaneerida
- Sektorid
- turvalisus
- tundub
- segmentatsioon
- saadab
- vanem
- tundlik
- server
- Serverid
- peaks
- lihtne
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- tarkvara
- mõned
- allikas
- Lõuna
- Lõuna-Aafrika
- Ruum
- Oda õngitsemine
- sport
- laiali
- standard
- algus
- Stealth
- varastatud
- lööma
- teema
- edukas
- selline
- Soovitab
- komplekt
- toetama
- üllatav
- süsteem
- süsteemid
- T
- taktika
- suunatud
- eesmärgid
- tehnikat
- telekommunikatsioon
- kui
- et
- .
- Hiina kommunistlik partei
- oma
- ennast
- Seal.
- Need
- nad
- Mõtlemine
- see
- need
- oht
- ohtude luure
- ähvardused
- et
- tööriist
- töövahendid
- liiklus
- Trend
- Trend Micro
- kaks
- liigid
- ei suuda
- ebatavaline
- Värskendused
- kasutama
- Kasutatud
- kasulik
- kasutusalad
- kasutamine
- kasutatud
- kehtiv
- eri
- suur
- kaudu
- pahe
- Asepresident
- Ohver
- ohvreid
- visiit
- Haavatavused
- haavatavus
- web
- veebirakendused
- veebiserver
- Hästi
- olid
- millal
- mis
- kuigi
- lai
- Lai valik
- aknad
- tiib
- koos
- jooksul
- maailm
- sephyrnet