Zor bir tehdit aktörü aradı Dünya Lusca’sı Aynı anda hem bir casusluk kampanyası hem de parasal kazanç elde etme girişimi olarak görünen şeyin bir parçası olarak dünya çapında grev yapan örgütler gözlemlendi.
Trend Micro araştırmacıları, “Kurbanlarının listesi, diğerlerinin yanı sıra hükümet ve eğitim kurumları, dini hareketler, Hong Kong’daki demokrasi yanlısı ve insan hakları örgütleri, COVID-19 araştırma kuruluşları ve medya gibi yüksek değerli hedefleri içeriyor.” söz konusu yeni bir raporda. “Ancak, tehdit aktörü aynı zamanda kumar ve kripto para şirketlerini de hedef aldığı için finansal olarak motive olmuş görünüyor.
Siber güvenlik firması, grubu daha büyük Çin merkezli şirketin bir parçası olarak nitelendirdi. Winnti kümesi, istihbarat toplama ve fikri mülkiyet hırsızlığına odaklanan tek bir ayrı varlık yerine bir dizi bağlantılı gruba atıfta bulunur.
Earth Lusca’nın izinsiz giriş yolları, hedefli kimlik avı ve su deliği saldırıları ile kolaylaştırılırken, aynı zamanda Microsoft Exchange ProxyShell ve Oracle gibi halka açık uygulamalardaki güvenlik açıklarından yararlanır. GlassFish Server istismarları, bir saldırı vektörü olarak.
Bulaşma zincirleri, Doraemon, ShadowPad, Winnti, FunnySwitch ve AntSword ve Behinder gibi web kabukları gibi çeşitli ek kötü amaçlı yazılımların yanı sıra Cobalt Strike’ın dağıtımına yol açar.
Cobalt Strike, kırmızı ekiplerin penetrasyon testinde kullanması için geliştirilmiş, meşru bir uzaktan erişim aracı olarak ortaya çıkan tam özellikli bir izinsiz giriş paketidir. Bununla birlikte, son yıllarda, bir tehdit aktörünün cephaneliğinde tercih edilen araçlardan biri ve bir dayanağı uygulamalı bir saldırıya dönüştürmenin birincil yollarından biri haline geldi.
İlginç bir şekilde, saldırılar virüslü ana bilgisayarlara kripto para birimi madencileri yüklemeyi de içeriyor olsa da, araştırmacılar “madencilik faaliyetlerinden elde edilen gelirin düşük göründüğüne” dikkat çekti.
Trend Micro tarafından toplanan telemetri verileri, Earth Lusca’nın Çin hükümetinin stratejik çıkarına olabilecek varlıklara karşı saldırılar düzenlediğini ortaya koyuyor:
- Anakara Çin’deki kumar şirketleri
- Tayvan, Tayland, Filipinler, Vietnam, Birleşik Arap Emirlikleri, Moğolistan ve Nijerya’daki devlet kurumları
- Tayvan, Hong Kong, Japonya ve Fransa’daki eğitim kurumları
- Tayvan, Hong Kong, Avustralya, Almanya ve Fransa’daki haber medyası
- Hong Kong’da demokrasi ve insan hakları yanlısı siyasi örgütler ve hareketler
- ABD’deki COVID-19 araştırma kuruluşları
- Nepal’deki telekom şirketleri
- Anakara Çin’de yasaklanan dini hareketler ve
- Çeşitli kripto para ticaret platformları
Araştırmacılar, “Kanıtlar, Earth Lusca’nın esas olarak siber casusluk ve finansal kazançla motive edilen yüksek vasıflı ve tehlikeli bir tehdit aktörü olduğuna işaret ediyor. Bununla birlikte, grup hala bir hedefi tuzağa düşürmek için denenmiş ve gerçek tekniklere güveniyor” dedi.
“Bunun avantajları olsa da (tekniklerin etkili olduğu zaten kanıtlanmıştır), aynı zamanda şüpheli e-posta/web sitesi bağlantılarına tıklamaktan kaçınmak ve halka açık önemli uygulamaları güncellemek gibi en iyi güvenlik uygulamalarının etkiyi en aza indirebileceği – hatta hatta dur – bir Dünya Lusca saldırısı.”
.
siber-2
