Hackers chineses do Earth Krahang violam 70 organizações em 23 países
19 de Março de 2024

Uma sofisticada campanha de hacking atribuída a um grupo Chinês de Ameaça Persistente Avançada (APT) conhecido como 'Earth Krahang' violou 70 organizações e atingiu pelo menos 116 em 45 países.

De acordo com pesquisadores da Trend Micro que monitoram a atividade, a campanha está em andamento desde o início de 2022 e se concentra principalmente em organizações governamentais.

Especificamente, os hackers comprometeram 48 organizações governamentais, 10 das quais são ministérios de Relações Exteriores, e atacaram outras 49 agências governamentais.

Os atacantes exploram servidores vulneráveis voltados para a internet e usam e-mails de spear-phishing para implantar backdoors personalizados para cyberespionagem.

O Earth Krahang abusa de sua presença em infraestruturas governamentais violadas para atacar outros governos, constrói servidores VPN em sistemas comprometidos e realiza uma força bruta para quebrar senhas de contas de e-mail valiosas.

Os atores da ameaça utilizam ferramentas de código aberto para escanear servidores com face pública para vulnerabilidades específicas, como CVE-2023-32315 (Openfire) e CVE-2022-21587 (Control Web Panel).

Ao explorar essas falhas, eles implantam webshells para obter acesso não autorizado e estabelecer persistência nas redes das vítimas.

Alternativamente, eles usam spear-phishing como vetor de acesso inicial, com as mensagens focadas em tópicos geopolíticos para atrair os destinatários a abrir os anexos ou clicar nos links.

Uma vez dentro da rede, o Earth Krahang usa a infraestrutura comprometida para hospedar payloads maliciosas, proxy de tráfego de ataque e usa contas de e-mail governamentais invadidas para atingir seus colegas ou outros governos com e-mails de spear-phishing.

"Observamos que o Earth Krahang recupera centenas de endereços de e-mail de seus alvos durante a fase de reconhecimento", lê-se no relatório da Trend Micro.

"Em um caso, o ator usou uma caixa de correio comprometida de uma entidade governamental para enviar um anexo malicioso para 796 endereços de e-mail pertencentes à mesma entidade."

Esses e-mails contêm anexos maliciosos que introduzem backdoors nos computadores das vítimas, espalhando a infecção e atingindo redundância no caso de detecção e limpeza.

A Trend Micro diz que os atacantes utilizam contas Outlook comprometidas para forçar as credenciais do Exchange, enquanto scripts Python especializados em exfiltrar e-mails dos servidores Zimbra também foram detectados.

O grupo de ameaças também monta servidores VPN em servidores públicos vulneráveis usando SoftEtherVPN para estabelecer acesso às redes privadas de suas vítimas e aprimorar sua capacidade de mover-se lateralmente dentro dessas redes.

Tendo estabelecido sua presença na rede, a Eath Krahang implanta malwares e ferramentas como Cobalt Strike, RESHELL e XDealer, que fornecem capacidades de execução de comando e coleta de dados.

O XDealer é o mais sofisticado e complexo dos dois backdoors, pois suporta Linux e Windows e pode tirar capturas de tela, registrar teclas e interceptar dados da área de transferência.

A Trend Micro diz que inicialmente encontrou ligações entre Earth Krahang e o ator chinês Earth Lusca, com base em sobreposições de comando e controle (C2), mas determinou que se trata de um conjunto separado.

É possível que ambos os grupos de ameaça operem sob a empresa chinesa I-Soon, atuando como uma força-tarefa dedicada à ciberespionagem em entidades governamentais.

Além disso, o RESHELL já foi associado anteriormente com o grupo 'Gallium' e o XDealer com os hackers 'Luoyu'.

No entanto, o entendimento da Trend Micro mostra que essas ferramentas são provavelmente compartilhadas entre os atores da ameaça, cada um usando uma chave de criptografia distinta.

A lista completa dos indicadores de comprometimento (IoCs) para esta campanha Earth Krahang é publicada separadamente aqui.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...