Группировка использует обширный арсенал вредоносного ПО для проникновения в правительственные сети.
Как сообщают исследователи безопасности, в рамках продолжающейся с начала 2022 года кампании, связанной с китайской группой киберугроз Earth Krahang, в 45 странах мира было атаковано как минимум 116 организаций, в то время, как 70 из них не устояли под натиском хакеров и были скомпрометированы.
Исследователи компании Trend Micro, отслеживающие активность группы, сообщают, что в основном атакам подвергаются именно правительственные структуры.
Рассматривая пострадавшие организации, специалисты отрапортовались о следующих результатах вредоносной кампании: 48 правительственных организаций, включая 10 министерств иностранных дел, непосредственно пострадали во время этих атак, а ещё 49 госагентств лишь чудом не стали жертвами китайских киберпреступников.
Хакеры использовали уязвимости в интернет-ориентированных серверах и специально подготовленные фишинговые письма для развёртывания кастомных бэкдоров с целью кибершпионажа.
Злоумышленники сканировали общедоступные серверы на предмет уязвимостей, таких как CVE-2023-32315 (Openfire) и CVE-2022-21587 (Control Web Panel), для установления несанкционированного доступа и поддержания присутствия в сетях жертв.
Для первоначального доступа использовались специализированные фишинговые сообщения, тематика которых основывалась на геополитических событиях, чтобы привлечь внимание получателей к открытию вложений или переходу по ссылкам.
После проникновения в сеть Earth Krahang использовала скомпрометированную инфраструктуру для размещения вредоносных загрузок, перенаправления трафика атак и использования взломанных правительственных электронных почт для отправки специализированных фишинговых писем.
В одном из случаев группа использовала скомпрометированный почтовый ящик правительственного учреждения для отправки вредоносного вложения на 796 адресов электронной почты, принадлежащих тому же учреждению. Такой метод атаки называется BEC-компрометацией.
Earth Krahang также активно устанавливает VPN-серверы на скомпрометированных публичных серверах с использованием SoftEtherVPN для доступа к частным сетям жертв и дальнейшего перемещения внутри этих сетей.
Используя зловредное ПО и инструменты, такие как Cobalt Strike, RESHELL и XDealer, группа обеспечивает выполнение команд и сбор данных. Тот же XDealer поддерживает как Linux, так и Windows, обладая возможностью делать скриншоты, логировать нажатия клавиш, а также перехватывать данные буфера обмена.
Исследование Trend Micro указывает на связи между Earth Krahang и другими китайскими группами киберугроз, предполагая, что эти группы могут действовать в рамках одной компании, занимающейся кибершпионажем правительственных структур.
Полный список индикаторов компрометации (IoC) для этой кампании Earth Krahang опубликован исследователями в полном отчёте, предоставляя необходимую информацию для специалистов безопасности, чтобы обеспечить защиту поддерживаемых ими организаций от этой распространённой киберугрозы.