Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Кибергруппировка Earth Lamia развернула масштабную волну атак на организации в Азии и Бразилии

02/06/25

hack141-2

Атаки начинаются с поиска SQL-инъекций в веб-приложениях, что позволяет злоумышленникам проникать во внутренние базы данных жертв. Дополнительно используются уязвимости публичных серверов: в арсенале Earth Lamia замечены восемь различных эксплойтов, среди которых критические дыры в Apache Struts2 ( CVE-2017-9805 ), GitLab ( CVE-2021-22205 ), WordPress File Upload ( CVE-2024-9047 ), JetBrains TeamCity ( CVE-2024-27198 ), CyberPanel ( CVE-2024-51378 и CVE-2024-51567 ) и Craft CMS ( CVE-2024-56145 ). Особенно выделяется CVE-2025-31324 — свежая уязвимость SAP NetWeaver, открывающая атакующим путь к удалённому управлению сервером через загрузку вредоносных файлов.

В зависимости от выбранной жертвы группа применяет широкий набор инструментов: для повышения привилегий используются GodPotato и JuicyPotato, для сканирования инфраструктуры — Fscan и Kscan, а для сокрытия следов — штатные средства Windows, такие как «wevtutil.exe», очищающие журналы событий. Часто атакующие развёртывают постэксплуатационные фреймворки Cobalt Strike и Supershell, а также создают прокси-туннели через Rakshasa и Stowaway. Об этом пишет Securitylab.

Некоторые кампании в Индии сопровождались попытками внедрения шифровальщика Mimic, однако добиться массового шифрования файлов преступникам не удалось — в ряде случаев они даже удаляли свои бинарные файлы после неудачных запусков.

По наблюдениям специалистов Trend Micro, активность Earth Lamia постоянно эволюционирует. Изначально группа делала ставку на финансовый сектор — в частности, брокерские и инвестиционные компании. Однако во втором полугодии 2024 года её фокус сместился на логистику и онлайн-ритейл, а сейчас главными мишенями становятся ИТ-компании, университеты и государственные учреждения.

Характерная черта Earth Lamia — внедрение собственных бэкдоров семейства PULSEPACK с помощью DLL Sideloading — популярной среди китайских группировок техники. Сам бэкдор написан на .NET, его функциональность расширяется за счёт подгружаемых плагинов, а коммуникация с управляющим сервером в последних версиях перешла с TCP на WebSocket, что говорит о постоянном развитии вредоносного инструмента.

Темы:КитайПреступленияTrend MicroЮжная АмерикаАзиягосударственные кибератаки
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.
  • ИИ на службе преступников: чего ждать в ближайшем будущем
    Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ
    Поговорим о будущем киберпреступного применения технологии искусственного интеллекта

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...