Daha önce kimliği belirlenemeyen bir Çin casusluk grubu, standart ücret taktikleri, teknikleri ve prosedürlerini (TTP’ler) kullanmasına rağmen, 48’i hükümet alanında olmak üzere 23 ülkede en az 70 kuruluşa sızmayı başardı.
“Earth Krahang” üst düzey bir askeri APT gibi görünmüyor. İçinde yeni bir raporTrend Micro’dan araştırmacılar bunun bir kanat olabileceğini öne sürdü iSoon, özel bir kiralık hack operasyonu Çin Komünist Partisi (ÇKP) ile sözleşme imzalandı. Ve böyle bir siber suç operasyonuna uygun olarak, ultra gelişmiş kötü amaçlı yazılım ve gizlilik taktikleri kullanmak yerine, hedeflerini alt etmek için büyük ölçüde açık kaynaklı ve iyi belgelenmiş araçların yanı sıra bir günlük güvenlik açıklarından ve standart sosyal mühendislikten oluşan bir cephanelik kullanıyor.
Buna rağmen kurban listesi benzerlerininkiyle yarışıyor Volt Tayfunu, Siyah TeknolojiVe Mustang Panda.
35 ülkede en az 116 kuruluşu hedef alan grubun, çeşitli dünya hükümetleriyle ilişkili dört düzine dahil olmak üzere en az 70 onaylanmış uzlaşması var. Bir vakada, 11 hükümet bakanlığına bağlı çok çeşitli kuruluşlara sızmayı başardı. Mağdurlar aynı zamanda eğitim ve telekomünikasyon sektörlerini, finansı, bilişim teknolojilerini, sporu ve daha fazlasını da kapsıyor. En yüksek kurban yoğunluğu Asya’dan geliyor ancak vakalar Amerika kıtasını (Meksika, Brezilya, Paraguay), Avrupa’yı (İngiltere, Macaristan) ve Afrika’yı (Mısır, Güney Afrika) da kapsıyor.
Critical Start’ın siber tehdit araştırmalarından sorumlu kıdemli yöneticisi Callie Guenther, “Devlet kurumlarının güvenliğini tehlikeye atmak için açık kaynak araçlarının kullanılması dikkate değer, ancak tamamen şaşırtıcı değil” diyor. “Devletler genellikle geniş ve karmaşık BT altyapılarına sahiptir; bu da güvenlik uygulamalarında tutarsızlıklara yol açabilir ve temel açık kaynak araçlarını kullananlar da dahil olmak üzere her türlü saldırıya karşı savunmayı zorlaştırabilir.”
Earth Krahang’ın Saldırı Taktikleri
Bazı başarılı Çin APT’leri şu özellikleriyle öne çıkıyor: benzersiz sıfır günler veya uyguladıkları karmaşık taktikler herkesten daha iyi.
Earth Krahang daha çok her işi bilen biri.
İlk hamlesi, kamu kuruluşlarına bağlı olanlar gibi kamuya açık sunucular için Web’i taramaktır. Yararlanabileceği güvenlik açıklarını kontrol etmek için sqlmap, nukleus, xray, vscan, pocsuite ve wordpressscan dahil olmak üzere herhangi bir sayıda açık kaynak, kullanıma hazır araçtan birini kullanır. Earth Krahang’ın özellikle avlamayı sevdiği iki hata, CVSS tarafından 7,5 puan alan gerçek zamanlı işbirliği sunucusu Openfire’daki bir komut yürütme hatası olan CVE-2023-32315 ve 9,8 puan alan kritik bir komut yürütme sorunu olan CVE-2022-21587’dir. Oracle’ın E-Business Suite’indeki Web Uygulamaları Masaüstü Entegratörü ile.
Grup, genel bir sunucuda tutunma noktası oluşturduktan sonra, hassas dosyaları, şifreleri (özellikle e-posta için) ve daha fazla bakımı yapılmayan sunuculara işaret edebilecek yalnız alt alanlar gibi diğer yararlı kaynakları taramak için daha fazla açık kaynaklı yazılım kullanıyor. Ayrıca bir dizi kaba kuvvet saldırısı da kullanıyor; örneğin, Web üzerinde Outlook aracılığıyla Microsoft Exchange sunucularını kırmak için ortak parolaların bir listesini kullanmak.
Trend Micro’nun tehdit istihbaratından sorumlu başkan yardımcısı Jon Clay, “Açık kaynağın tespit edilmesi kolay gibi görünse de” diyor ve şöyle devam ediyor: “Gerçek şu ki, burada bulunması ve tespit edilmesi gereken çok sayıda TTP var. Ayrıca, kullanım Bu düşmanın savunmadan kaçınma taktikleri, kurbanların savunma yapamayacak duruma gelmesini sağlamak için kullanılabilir.”
Earth Krahang’ın Sömürü ve Gizlilik Taktikleri
Tüm bunların (ve çok daha fazlasının) sonunda, saldırgan iki temel eylem gerçekleştirebilir: güvenliği ihlal edilmiş sunuculara arka kapılar açmak ve e-posta hesaplarını ele geçirmek.
İkincisi özellikle faydalıdır. Clay, “Saldırılarını desteklemek için meşru sistemlerin ve e-posta hesaplarının kullanılması burada özellikle ilgi çekicidir, çünkü bu düşman, kurbanı güvende olduklarını düşündürmek için meşru hesapları kullanıyor” diye açıklıyor. Grup, yüksek değerli kişilerin bir listesi ve iyi niyetli bir hesap kullanılarak kazanılan meşruiyet ile, “Malezya Savunma Bakanlığı Genelgesi” gibi, konu satırlarına uygun kötü amaçlı URL’ler veya ekler ve dosya adları içeren e-postalar gönderiyor. aynı – örneğin “Paraguay Dışişleri Bakanı’nın Turkmenistan.exe’yi ziyareti hakkında.”
İster e-posta ister Web sunucusundaki bir güvenlik açığı yoluyla olsun, Earth Krahang’ın çeşitli hedefleri bir veya daha fazla arka kapının indirilmesiyle sonuçlanır.
Grup, 2022 dolaylarında gerçekleştirdiği ilk saldırılarında, AES şifreli komut ve kontrol (C2) iletişimiyle bilgi toplamak, dosyaları bırakmak ve sistem komutlarını yürütmek için oldukça basit, özel yapım bir .NET aracı olan “RESHELL”i kullandı.
2023 yılında grup, keylogging, ekran görüntüsü alma ve panodan çalma gibi daha fazla özelliğe sahip olan “XDealer”a taşındı. Hem Windows hem de Linux ile uyumlu olmasının yanı sıra XDealer, bazı yükleyicilerinin geçerli kod imzalama sertifikaları içermesi nedeniyle de dikkat çekicidir. Trend Micro, biri meşru bir insan kaynakları şirketine, diğeri ise bir oyun geliştirme şirketine ait olan bu sertifikaların, kötü amaçlı yazılımın yeni sistemlere indirilmesi sırasında ekstra bir koruma katmanı sağlamak için büyük olasılıkla çalındığını tahmin ediyor.
Earth Krahang da bundan yararlandı PlugX gibi eski tehditler Ve GölgePadve Cobalt Strike’ı sıklıkla başka bir açık kaynak araçla (RedGuard) birlikte kullanıyor ve bu da siber güvenlik analistlerinin C2 altyapısını belirlemesini engelliyor.
Tehdit aktörünün nispeten dürüst olması nedeniyle Günther, “bu TTP’lere karşı koruma sağlamak için standart en iyi uygulamaların önerildiğini” öne sürüyor. Kuruluşlar, hedef odaklı kimlik avına karşı savunmak için e-posta güvenliklerini geliştirmeli, bilinen güvenlik açıklarına karşı koruma sağlamak için sistemlerini düzenli olarak güncellemeli ve yamalar yapmalı ve Bir saldırganın kendi ağları içindeki yayılmasını sınırlamak için ağ bölümlendirmesini kullanın. Anormal ağ trafiğini ve olağandışı erişim modellerini izlemek de bu tür kampanyaların erken tespit edilmesine yardımcı olabilir.”