Новости Кибершпионаж по-китайски: Earth Krahang атаковала 116 госорганизаций в 45 странах

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Группировка использует обширный арсенал вредоносного ПО для проникновения в правительственные сети.


bg7cz8azk3w5rxpbff3kcz131yty2alt.jpg


Как сообщают исследователи безопасности, в рамках продолжающейся с начала 2022 года кампании, связанной с китайской группой киберугроз Earth Krahang, в 45 странах мира было атаковано как минимум 116 организаций, в то время, как 70 из них не устояли под натиском хакеров и были скомпрометированы.

Исследователи компании Trend Micro , Для просмотра ссылки Войди или Зарегистрируйся активность группы, сообщают, что в основном атакам подвергаются именно правительственные структуры.

Рассматривая пострадавшие организации, специалисты отрапортовались о следующих результатах вредоносной кампании: 48 правительственных организаций, включая 10 министерств иностранных дел, непосредственно пострадали во время этих атак, а ещё 49 госагентств лишь чудом не стали жертвами китайских киберпреступников.

Хакеры использовали уязвимости в интернет-ориентированных серверах и специально подготовленные фишинговые письма для развёртывания кастомных бэкдоров с целью кибершпионажа.

Злоумышленники сканировали общедоступные серверы на предмет уязвимостей, таких как Для просмотра ссылки Войди или Зарегистрируйся (Openfire) и Для просмотра ссылки Войди или Зарегистрируйся (Control Web Panel), для установления несанкционированного доступа и поддержания присутствия в сетях жертв.

Для первоначального доступа использовались специализированные фишинговые сообщения, тематика которых основывалась на геополитических событиях, чтобы привлечь внимание получателей к открытию вложений или переходу по ссылкам.

После проникновения в сеть Earth Krahang использовала скомпрометированную инфраструктуру для размещения вредоносных загрузок, перенаправления трафика атак и использования взломанных правительственных электронных почт для отправки специализированных фишинговых писем.

В одном из случаев группа использовала скомпрометированный почтовый ящик правительственного учреждения для отправки вредоносного вложения на 796 адресов электронной почты, принадлежащих тому же учреждению. Такой метод атаки называется Для просмотра ссылки Войди или Зарегистрируйся

Earth Krahang также активно устанавливает VPN-серверы на скомпрометированных публичных серверах с использованием SoftEtherVPN для доступа к частным сетям жертв и дальнейшего перемещения внутри этих сетей.

Используя зловредное ПО и инструменты, такие как Cobalt Strike, RESHELL и XDealer, группа обеспечивает выполнение команд и сбор данных. Тот же XDealer поддерживает как Linux, так и Windows, обладая возможностью делать скриншоты, логировать нажатия клавиш, а также перехватывать данные буфера обмена.

Исследование Trend Micro указывает на связи между Earth Krahang и другими китайскими группами киберугроз, предполагая, что эти группы могут действовать в рамках одной компании, занимающейся кибершпионажем правительственных структур.

Полный список индикаторов компрометации Для просмотра ссылки Войди или Зарегистрируйся для этой кампании Earth Krahang опубликован исследователями в Для просмотра ссылки Войди или Зарегистрируйся предоставляя необходимую информацию для специалистов безопасности, чтобы обеспечить защиту поддерживаемых ими организаций от этой распространённой киберугрозы.
 
Источник новости
www.securitylab.ru

Похожие темы