Uma sofisticada campanha de hacking atribuída a um grupo Chinês de Ameaça Persistente Avançada (APT) conhecido como 'Earth Krahang' violou 70 organizações e atingiu pelo menos 116 em 45 países.
De acordo com pesquisadores da Trend Micro que monitoram a atividade, a campanha está em andamento desde o início de 2022 e se concentra principalmente em organizações governamentais.
Especificamente, os hackers comprometeram 48 organizações governamentais, 10 das quais são ministérios de Relações Exteriores, e atacaram outras 49 agências governamentais.
Os atacantes exploram servidores vulneráveis voltados para a internet e usam e-mails de spear-phishing para implantar backdoors personalizados para cyberespionagem.
O Earth Krahang abusa de sua presença em infraestruturas governamentais violadas para atacar outros governos, constrói servidores VPN em sistemas comprometidos e realiza uma força bruta para quebrar senhas de contas de e-mail valiosas.
Os atores da ameaça utilizam ferramentas de código aberto para escanear servidores com face pública para vulnerabilidades específicas, como
CVE-2023-32315
(Openfire) e
CVE-2022-21587
(Control Web Panel).
Ao explorar essas falhas, eles implantam webshells para obter acesso não autorizado e estabelecer persistência nas redes das vítimas.
Alternativamente, eles usam spear-phishing como vetor de acesso inicial, com as mensagens focadas em tópicos geopolíticos para atrair os destinatários a abrir os anexos ou clicar nos links.
Uma vez dentro da rede, o Earth Krahang usa a infraestrutura comprometida para hospedar payloads maliciosas, proxy de tráfego de ataque e usa contas de e-mail governamentais invadidas para atingir seus colegas ou outros governos com e-mails de spear-phishing.
"Observamos que o Earth Krahang recupera centenas de endereços de e-mail de seus alvos durante a fase de reconhecimento", lê-se no relatório da Trend Micro.
"Em um caso, o ator usou uma caixa de correio comprometida de uma entidade governamental para enviar um anexo malicioso para 796 endereços de e-mail pertencentes à mesma entidade."
Esses e-mails contêm anexos maliciosos que introduzem backdoors nos computadores das vítimas, espalhando a infecção e atingindo redundância no caso de detecção e limpeza.
A Trend Micro diz que os atacantes utilizam contas Outlook comprometidas para forçar as credenciais do Exchange, enquanto scripts Python especializados em exfiltrar e-mails dos servidores Zimbra também foram detectados.
O grupo de ameaças também monta servidores VPN em servidores públicos vulneráveis usando SoftEtherVPN para estabelecer acesso às redes privadas de suas vítimas e aprimorar sua capacidade de mover-se lateralmente dentro dessas redes.
Tendo estabelecido sua presença na rede, a Eath Krahang implanta malwares e ferramentas como Cobalt Strike, RESHELL e XDealer, que fornecem capacidades de execução de comando e coleta de dados.
O XDealer é o mais sofisticado e complexo dos dois backdoors, pois suporta Linux e Windows e pode tirar capturas de tela, registrar teclas e interceptar dados da área de transferência.
A Trend Micro diz que inicialmente encontrou ligações entre Earth Krahang e o ator chinês Earth Lusca, com base em sobreposições de comando e controle (C2), mas determinou que se trata de um conjunto separado.
É possível que ambos os grupos de ameaça operem sob a empresa chinesa I-Soon, atuando como uma força-tarefa dedicada à ciberespionagem em entidades governamentais.
Além disso, o RESHELL já foi associado anteriormente com o grupo 'Gallium' e o XDealer com os hackers 'Luoyu'.
No entanto, o entendimento da Trend Micro mostra que essas ferramentas são provavelmente compartilhadas entre os atores da ameaça, cada um usando uma chave de criptografia distinta.
A lista completa dos indicadores de comprometimento (IoCs) para esta campanha Earth Krahang é publicada separadamente aqui.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...