Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Earth Krahang атаковала 116 госорганизаций в 45 странах

19/03/24

hack122-Mar-19-2024-10-03-58-2494-AM

Как сообщают исследователи безопасности, в рамках продолжающейся с начала 2022 года кампании, связанной с китайской группой киберугроз Earth Krahang, в 45 странах мира было атаковано как минимум 116 организаций, в то время, как 70 из них не устояли под натиском хакеров и были скомпрометированы.

Исследователи компании Trend Micro, отслеживающие активность группы, сообщают, что в основном атакам подвергаются именно правительственные структуры, пишет Securitylab.

Рассматривая пострадавшие организации, специалисты отрапортовались о следующих результатах вредоносной кампании: 48 правительственных организаций, включая 10 министерств иностранных дел, непосредственно пострадали во время этих атак, а ещё 49 госагентств лишь чудом не стали жертвами китайских киберпреступников.

Хакеры использовали уязвимости в интернет-ориентированных серверах и специально подготовленные фишинговые письма для развёртывания кастомных бэкдоров с целью кибершпионажа.

Злоумышленники сканировали общедоступные серверы на предмет уязвимостей, таких как CVE-2023-32315 (Openfire) и CVE-2022-21587 (Control Web Panel), для установления несанкционированного доступа и поддержания присутствия в сетях жертв.

Для первоначального доступа использовались специализированные фишинговые сообщения, тематика которых основывалась на геополитических событиях, чтобы привлечь внимание получателей к открытию вложений или переходу по ссылкам.

После проникновения в сеть Earth Krahang использовала скомпрометированную инфраструктуру для размещения вредоносных загрузок, перенаправления трафика атак и использования взломанных правительственных электронных почт для отправки специализированных фишинговых писем.

В одном из случаев группа использовала скомпрометированный почтовый ящик правительственного учреждения для отправки вредоносного вложения на 796 адресов электронной почты, принадлежащих тому же учреждению. Такой метод атаки называется BEC-компрометацией.

Earth Krahang также активно устанавливает VPN-серверы на скомпрометированных публичных серверах с использованием SoftEtherVPN для доступа к частным сетям жертв и дальнейшего перемещения внутри этих сетей.

Используя зловредное ПО и инструменты, такие как Cobalt Strike, RESHELL и XDealer, группа обеспечивает выполнение команд и сбор данных. Тот же XDealer поддерживает как Linux, так и Windows, обладая возможностью делать скриншоты, логировать нажатия клавиш, а также перехватывать данные буфера обмена.

Исследование Trend Micro указывает на связи между Earth Krahang и другими китайскими группами киберугроз, предполагая, что эти группы могут действовать в рамках одной компании, занимающейся кибершпионажем правительственных структур.

Полный список индикаторов компрометации (IoC) для этой кампании Earth Krahang опубликован исследователями в полном отчёте, предоставляя необходимую информацию для специалистов безопасности, чтобы обеспечить защиту поддерживаемых ими организаций от этой распространённой киберугрозы.

Темы:ПреступленияTrend MicroКибератакиbec-атаки
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...