网络第5域

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构

字号+作者: 来源:cnBeta.COM 2024-03-20 14:24 评论(创建话题) 收藏成功收藏本文

一个名为"EarthKrahang"的中国高级持续性威胁(APT)组织发起了一场复杂的黑客攻击活动,入侵了45个国家的70个组织,攻击目标至少116个。根据趋势科技研究人员'...

一个名为"EarthKrahang"的中国高级持续性威胁(APT)组织发起了一场复杂的黑客攻击活动,入侵了45个国家的70个组织,攻击目标至少116个。根据趋势科技研究人员对该活动的监测,该活动自2022年初开始,主要针对政府组织。AJs品论天涯网

具体来说,黑客已经入侵了48个政府组织,其中10个是外交部门,另外49个政府机构也成为了黑客的攻击目标。AJs品论天涯网


受害者(红色)和目标(黄色)地图(趋势科技)

攻击者利用易受攻击的面向互联网的服务器,使用鱼叉式网络钓鱼电子邮件部署定制的网络间谍活动后门。AJs品论天涯网

EarthKrahang滥用其在被攻破的政府基础设施上的存在来攻击其他政府,在被攻破的系统上建立VPN服务器,并执行暴力破解以破解重要电子邮件账户的密码。AJs品论天涯网

攻击概述AJs品论天涯网

威胁行为者利用开源工具扫描面向公众的服务器,查找特定漏洞,如CVE-2023-32315(Openfire)和CVE-2022-21587(OracleWebApps)。AJs品论天涯网

通过利用这些漏洞,他们部署webhell来获取未经授权的访问权限,并在受害者网络中建立持久性。AJs品论天涯网

或者,他们使用鱼叉式网络钓鱼作为初始访问载体,围绕地缘政治主题发送信息,诱使收件人打开附件或点击链接。AJs品论天涯网

一旦进入网络,EarthKrahang就会利用被入侵的基础设施托管恶意有效载荷、代理攻击流量,并使用被黑客入侵的政府电子邮件账户向其同事或其他政府发送鱼叉式网络钓鱼电子邮件。AJs品论天涯网

趋势科技在报告中写道:"我们注意到,EarthKrahang在侦察阶段会从目标处获取数百个电子邮件地址。在一个案例中,行为者利用一个政府实体的受损邮箱向属于同一实体的796个电子邮件地址发送恶意附件"。AJs品论天涯网


用于从被入侵账户发送电子邮件的脚本(已删节)(趋势科技)

这些电子邮件包含恶意附件,可将后门植入受害者的计算机,传播感染并在检测和清理时实现冗余。AJs品论天涯网

攻击者使用被入侵的Outlook账户来强行获取Exchange凭据,同时还发现了专门从Zimbra服务器中渗入电子邮件的Python脚本。AJs品论天涯网


用于收集电子邮件数据的Python脚本(趋势科技)

该威胁组织还利用SoftEtherVPN在被入侵的面向公众的服务器上建立VPN服务器,以建立对受害者私人网络的访问,并进一步提高他们在这些网络中横向移动的能力。AJs品论天涯网

EathKrahang在网络上建立存在后,会部署CobaltStrike、RESHELL和XDealer等恶意软件和工具,提供命令执行和数据收集功能。AJs品论天涯网

XDealer是这两种后门程序中更复杂、更精密的一种,因为它支持Linux和Windows,可以截屏、记录键盘输入和截取剪贴板数据。AJs品论天涯网


攻击链概述(趋势科技)

趋势科技称,根据指挥和控制(C2)的重叠,它最初发现EarthKrahang与中国附属行为者EarthLusca之间存在联系,但确定这是一个独立的集群。AJs品论天涯网

这两个威胁组织可能都在中国公司I-Soon旗下运作,作为专门针对政府实体进行网络间谍活动的特遣部队。AJs品论天涯网

此外,RESHELL以前与"Gallium"组织有关,而XDealer则与"Luoyu"黑客有关。然而,趋势科技的洞察力表明,这些工具很可能是威胁行为者之间共享的,每个工具都使用不同的加密密钥。AJs品论天涯网

本次的"EarthKrahang"指标清单在此单独发布。AJs品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]